Обнаружил уязвимость в безопасности приложения «Альфа-Банка»

Обладатели «Альфа-Карт» заметили, что теперь в приложении предлагается создать статичный пин-код для незначительных действий.

5757

Странно, альфа писала, что в течение суток обещали не давать доступ в приложение новым устройствам. Сам по себе один пароль на подтверждение транзакций вместо генерируемых гсч паролей на каждую транзакцию - это уже дырень в безопасности.

В любом случае альфа скажет, что код введен, разглашать его нельзя, сам юзер виноват.

Запретить банку давать доступ приложения альфы к счетам невозможно. И если кредитная история у вас хорошая, то зная ваш код мошенник прекрасно может взять кредит прямо в приложении на ваше имя, и перевести куда хочет. Тут вообще нет безопасности, но и в госбанки не охота бабло нести, а других крупных нет))

3

В чем "дырень"? Если мошенник клонирует сим-карту или уводит пришедшие коды вредоносным софтом, то при помощи них он бабки и уводит. Что в последнее время часто происходит. Дополнительное подтверждение кодом, который не генерируется и не может быть определен никаким способом, кроме разглашения самим пользователем - только плюс.

5

Если устройство новое, то на нем будут ограничения лимитов + все транзакции в рамках некоторого времени будут подтверждаться смс (не пуш), которое вам придёт на сим карту, предварительно по которой будет проверен имси.

В целом, правильно в хату заходить с вектором атаки, если у вас сомнения в защищенности приложения, на основе вектора строить гипотезы, как можно улучшить и есть ли в этом необходимость.