|
Большинство популярных приложений для совершения мобильных платежей не отличаются высокой степенью защищенности
23704
Топ-10 лучших бесплатных программ для Windows
ТОП-10 Аудио, видео
K-Lite Codec Pack Full
Разработчик: K-Lite
|
Загрузок: 5940206
|
| Бесплатная
|
K-Lite Codec Pack Full — набор кодеков и инструментов для проигрывания аудио и видео практически любых форматов
ТОП-10 Система
CCleaner
Разработчик: Piriform Ltd
|
Загрузок: 2903627
|
| Бесплатная
|
CCleaner — бесплатная программа для очистки системы: удаления истории просмотра сайтов в браузерах, временных файлов, а также для безвозвратного удаления данных
ТОП-10 Загрузка файлов
uTorrent
Разработчик: BitTorrent
|
Загрузок: 2462735
|
| Бесплатная
|
uTorrent — компактный BitTorrent-клиент с поддержкой одновременной загрузки сразу нескольких файлов, настраиваемой полосой пропускания, небольшим использованием памяти и т.д.
ТОП-10 Мультимедиа
DAEMON Tools Lite
Разработчик: Daemon-tools
|
Загрузок: 1503472
|
| Бесплатная
|
DAEMON Tools Lite — эмулятор CD/DVD-приводов, относительно маленький по размеру, но мощный по возможностям
ТОП-10 Графика и дизайн
Foxit Reader
Разработчик: Foxit Software
|
Загрузок: 1238429
|
| Бесплатная
|
Foxit Reader — быстро работающее приложение для просмотра и печати документов формата PDF, не требующее наличия Adobe Reader
ТОП-10 Загрузка файлов
BitTorrent
Разработчик: BitTorrent
|
Загрузок: 516473
|
| Бесплатная
|
BitTorrent — официальный клиент пиринговой сети, нацеленной на возможность загрузки файлов большого размера
ТОП-10 Аудио, видео
KMPlayer
Разработчик: KMP Media Corp.
|
Загрузок: 3165522
|
| Бесплатная
|
KMPlayer — медиаплеер с поддержкой проигрывания всех популярных видеоформатов и гибкой настройкой параметров просмотра видео
ТОП-10 Загрузка файлов
qBittorrent
Разработчик: Gbittorrent Team
|
Загрузок: 28992
|
| Бесплатная
|
Приложение файлообменной сети BitTorrent со встроенным поисковым движком, поддержкой Unicode, Drag'n'Drop, возможностью скачивать только указанные файлы, а не весь торрент, работой через прокси и т.д.
|
|
|
1. Реальную уязвимость в протоколе. С демонстрацией, как этой уязвимостью пользоваться (то есть пусть один из ваших сотрудников поставит такую программу и совершит платёж, а второй попытается перехватить его и сделать с ним что-то нехорошее... сделать платёж с перехваченного счёта в свой адрес, изменить назначение платежа, ну или хотя бы просто перехватить информацию о том, откуда и куда прошли деньги).
2. Реальную уязвимость в сторонних библиотеках. Нет, если используется HTTP - то вопросов нет, такое "приложение" вообще жить не должно. Но если используется всё-таки HTTPS... Покажите, какая библиотека, используемая в платёжных системах НЕ проверяет сертификаты по стороннему каналу связи (чтобы не подвергнуться MitM), чтобы её разработчики могли исправить недостатки. Вероятнее всего, отпечатки ключей будут просто зашиты в программе, при смене ключей программа просто перестанет работать и потребуется обновление. Дёшево и достаточно надёжно. Осталось только конечному пользователю проследить, чтобы программа была скачана именно с сайта разработчика, потому что в противном случае, злоумышленник сможет подменить ключи на свои и контролировать обмен.
3. Шифрование пользовательских данных где? На стороне самого устройства? То есть оно даже не использует какой-никакой PIN для расшифровки хранящегося в приложении номера банковкой карты (или какая там информация нужна для совершения платежа)? Ну тогда да, дыра. Хотя и не такая уж серьёзная, как её выставляют. Уязвимость в протоколе куда как солиднее. А отсутствие шифрования при обмене данных с сервером - это вообще решето с одной дыркой... без дна.
В итоге - довольно жёлтое изучение. Нафиг.