Android-клиент банка ВТБ показывает уведомления о всех операциях другого пользователя
Наблюдаемый эффект
Поступают уведомления обо всех операциях другого клиента банка ВТБ в виде всплывающих сообщений. При запуске приложения и до авторизации в нем (ввода PIN-кода) отображаются операции другого клиента, хотя в заголовке формы ввода PIN-кода указаны мои учетные данные. После ввода PIN-кода и до момента выхода из сессии отображаются только мои уведомления об операциях.
Немного деталей
PUSH-уведомления не активированы, в моменты отображения на экране телефона уведомлений о чужих операциях я не авторизован в личном кабинете, приложение оставалось запущенным «в фоне».
В случае, если на момент совершения операций «чужим» клиентом приложение ВТБ в фоне не работало, то на экране уведомление об операции в виде всплывающего окна не отображалось. Однако если запустить приложение, то в окне авторизации можно увидеть число пропущенных уведомлений у символа «колокольчик», по нажатию на который открываются пропущенные «чужие» уведомления.
Уведомления о моих операциях никогда не отображались в приложении (прим.: логичный вопрос — а кому же тогда поступают мои уведомления?)
Переустановка приложения с очисткой памяти и сменой пароля учетной записи не устранила проблему (история, разумеется, сбросилась, но «чужие» уведомления продолжали поступать).
Гипотезы
Предположу, что возможна ошибка в работе Android приложения, вследствие чего на сервер формируется запрос (идентификатор сессии) с признаком «другого клиента», а сервер не проверяя авторизацию выдает данные о транзакциях.
При этом вероятно наличие критической ошибки на стороне сервера, т.к. фактически без авторизации пользователя (пароль/PIN-код пользователем не вводится) предоставляется конфиденциальная информация.
Если так, то существует ненулевая вероятность, что «специальным образом» модифицированное приложение способно предоставлять злоумышленнику данные об операциях целевого клиента.
Примеры данных
- «Карта *4716: Оплата 250.00 RUB; Сити Ресторант; 20.11.2018 15:59, Доступно 22903.61 RUB»
- «Списано 2884,00р Счет *0885 получатель Иван У. Баланс 27925,11р 16:59» от 19.10.2020
- 11.09.2020, 11:58, «Списано 50013,66 RUB Счет *1306 перевод между счетами/картами Баланс 0,00 RUB 11:58»
Вместо заключения
Надеюсь, что это поможет разработчикам найти и исправить ошибку.
Хотелось бы верить, что я ошибаюсь и наблюдаемый эффект — это только следствие неверной записи в базе данных пользователей.
Считаю возможным опубликовать эту информацию здесь с учетом того, что с 2019г. я уже четыре раза обращался по этому вопросу в техническую поддержку и мое лучшее достижение — ответ «Уважаемый клиент! Ваша заявка SD-*** в службу технической поддержки рассмотрена. С уважением, ВТБ (ПАО)»
Комментарий недоступен
У меня новое устройство из Европы, в РФ не было до меня. Вишенка - приложения заблокирована возможность сбора телеметрии, аналитики и т.п. (XPrivacy). Если, как вы говорите, программисты ВТБ привязываются к идентификатору телефона - это огромная брешь в безопасности, т.к. его можно легко менять, копировать и т.п. Даже пародия на cookie тут была бы более безопасна.
Как проект зловреда - получаем список установленных у пользователя приложений, если есть ВТБ, то запрашиваем идентификатор телефона и выгружаем эти данные на внешний сервер. Профит. Дальше осталось подключиться к серверу и получать нужные данные.
Вы уверены, что это не "благодаря" XPrivacy?
Да, возможно косяк в банке, но также возможен такой сценарий:
- Кто-то другой ставит приложение банка с установленным XPrivacy, и настраивает спуфинг ид телефона
- По этому ид гугл понимает кому слать пуши
- Вы ставите себе тот же ид
- Пуши теперь идут и Вам тоже
Не исключаю, что подмена идентификатора может давать такой эффект. И, как я писал выше, если так, то мы имеем уязвимость в системе банк-клиент, которой можно легко можно воспользоваться.
Если у того человека, от которого приходят уведомления, тоже стоит xprivacy, то уязвимости в банк-клиенте вполне может и не быть: банк-клиент обращается к ОС андроид за пуш-нотификациями, и никак на них повлиять не может. Push-сервис именно гугловский.
У xprivacy вполне есть возможность из-за бага устроить подлянку - его автор игнорирует очевидные проблемы безопасности в его приложухе и занят продажей про версии и блокировкой любой критики его прелести. Багов в нём вагон и тележка, как в xprivacy, так и в xprivacylua.