Sydney programador Stuart Ryan lascou banco de varejo dominante da Austrália, o Commonwealth Bank, para permitir que dois códigos de autenticação de fator para ser visualizado em iPhones bloqueados.
O banco envia tokens de autenticação mais de notificações push em dispositivos iOS, em vez de SMS para os usuários que haviam ativado o log segunda conta fator na função.
CommBank fez a mudança em outubro .
Ryan disse que uma falha ao permite que os sinais a serem exibidos em telas de bloqueio.
"A falha de segurança surge como resultado da Netcode sendo exibido dentro da própria notificação de envio", Ryan ( stuartcryan ) disse em um post .
"Portanto, quem pode acessar fisicamente o seu telefone pode ter acesso a um Netcode como ele irá mostrar na tela de bloqueio.
"Esta é uma falha significativa como quaisquer códigos de segurança deve exigir que o telefone seja desbloqueado para revelar o código como é prática comum."
O Banco Commonwealth foi contatado para comentar o assunto.
Ryan disse esquadrão de atendimento ao cliente do banco disse que ele e outros apostadores interessados devem alterar as configurações de notificação de envio para que ele não iria exibir em telas de bloqueio.
Agentes do banco também apontou um token seria inútil para os fraudadores sem outra informação bancária.
Os tokens seria útil para os atacantes que conheciam e não gostavam seus alvos suficientes para obter seus dados bancários, cheques passados de identificação e roubaram iPhone da vítima.
Atacantes que operam nesse nível poderia tipicamente mangueira seus alvos sem muito barulho, no entanto.
Este repórter considera a questão na periferia de segurança, com uma correção deve altamente desejável a próxima atualização do aplicativo. Mas é também um ataque plausível que Crims bem organizados perseguindo grande jogo iria considerar. ®
Nenhum comentário:
Postar um comentário