Новости | | Автор:

Обнаружен новый способ массового хищения платежных данных из мобильных приложений

Обнаружен новый способ массового хищения платежных данных из мобильных приложений

Встраиваемый во многие популярные мобильные приложения сервис, как выяснилось, можно настроить на запись видео с экрана приложения для отслеживания ввода данных банковской карты или входа в платежную систему. Таким образом, инструмент можно использовать не только для аналитики, но и в мошеннических целях.

Аналитический инструмент мобильных приложений APSEE может использоваться мошенниками

Фото: Pixabay

Как обнаружил сооснователь компании-разработчика ПО Lodoss Team Дмитрий Ковалев, популярный аналитический сервис Appsee, который помогает анализировать поведение пользователя в приложении, и среди прочего, записывает его действия, легко может быть использован в мошеннических целях. О примере такого использования он написал на своей странице в Facebook.

По словам Ковалева, в его компанию обратился заказчик с просьбой добавить функцию в некое мобильное приложение (его название не раскрывается). Во время работы было обнаружено, что в приложении используется Appsee, встроенный одним из программистов клиента без его ведома.

После того, как через службу поддержки был получен доступ к сервису, обнаружилось, что он был настроен на запись видео с эрана приложения, на котором пользователь вводил данные своей банковской карты или счета в платежной системе PayPal. Таким образом, любой, получивший доступ к этим видеозаписям, мог легко снять деньги пользователей.

По мнению Ковалева, хищения средств в итоге не произошло, так как доступ к сервису был перекрыт в момент сбора информации о кредитных картах, и программист, встроивший код Appsee в приложение, получив информацию о закрытии доступа, вряд ли осмелится воспользоваться уже собранными данными.

По правилам работы с Appsee разработчики обязаны настраивать его при сборе информации определенным образом, чтобы не записывать данные пользователей. Также необходимо предупреждать их о том, что в приложении установлен сервис сбора и записи.

Однако, как выяснилось, это не спасает от недобросовестных программистов, которые могут встраивать подобные сервисы в приложения без ведома их заказчика. В такой ситуации можно только посоветовать разработчикам приложений внимательнее следить за тем, чем занимаются их сотрудники, ну а пользователям — более придирчиво относиться к мобильным приложениям, в которых требуется вводить свои платежные данные.

 

1123 прочтения
blog comments powered by Disqus