Android-клиент банка ВТБ показывает уведомления о всех операциях другого пользователя

Поступают уведомления обо всех операциях другого клиента банка ВТБ в виде всплывающих сообщений. При запуске приложения и до авторизации в нем (ввода PIN-кода) отображаются операции другого клиента, хотя в заголовке формы ввода PIN-кода указаны мои учетные данные. После ввода PIN-кода и до момента выхода из сессии отображаются только мои уведомлени…

4646

Комментарий недоступен

10
Ответить

У меня новое устройство из Европы, в РФ не было до меня. Вишенка - приложения заблокирована возможность сбора телеметрии, аналитики и т.п. (XPrivacy). Если, как вы говорите, программисты ВТБ привязываются к идентификатору телефона - это огромная брешь в безопасности, т.к. его можно легко менять, копировать и т.п.  Даже пародия на cookie тут была бы более безопасна.
Как проект зловреда - получаем список установленных у пользователя приложений, если есть ВТБ, то запрашиваем идентификатор телефона и выгружаем эти данные на внешний сервер. Профит. Дальше осталось подключиться к серверу и получать нужные данные.

6
Ответить

Это не совсем так. Андроид современных версий не даёт возможности получить доступа к несбрасываемым ID. Это раз.
Ещё со времён c2dm в документации было чётко сказано, что это не постоянный айди и нужно уметь его обновлять.

То есть да, клиент получил чужой id, но он не на железо завязан. ЛИБО, уже в порядке бреда, они реально завязываются на железо и получают хеш от слован UNKNOWN или оборачивают каокй-то Security Exception где-то внизу в какую-то STUB строку, а выше понятия не имеют, что там было исключение и считают этот стаб валидными данными.

Но это я реально уже в порядке бреда. Чтобы так сделать, нужно быть абсолютно, наглухо, ебическим образом отбитым дегенератом.

3
Ответить

Комментарий недоступен

2
Ответить

Только вот это не пиши. Тк они не активированы и не приходят при закрытом приложении. 

Ответить