Обнаружен новый способ массового хищения платежных данных из мобильных приложений

По словам Ковалева, в его компанию обратился заказчик с просьбой добавить функцию в некое мобильное приложение (его название не раскрывается). Во время работы было обнаружено, что в приложении используется Appsee, встроенный одним из программистов клиента без его ведома.

После того, как через службу поддержки был получен доступ к сервису, обнаружилось, что он был настроен на запись видео с эрана приложения, на котором пользователь вводил данные своей банковской карты или счета в платежной системе PayPal. Таким образом, любой, получивший доступ к этим видеозаписям, мог легко снять деньги пользователей.

По мнению Ковалева, хищения средств в итоге не произошло, так как доступ к сервису был перекрыт в момент сбора информации о кредитных картах, и программист, встроивший код Appsee в приложение, получив информацию о закрытии доступа, вряд ли осмелится воспользоваться уже собранными данными.

По правилам работы с Appsee разработчики обязаны настраивать его при сборе информации определенным образом, чтобы не записывать данные пользователей. Также необходимо предупреждать их о том, что в приложении установлен сервис сбора и записи.

Однако, как выяснилось, это не спасает от недобросовестных программистов, которые могут встраивать подобные сервисы в приложения без ведома их заказчика. В такой ситуации можно только посоветовать разработчикам приложений внимательнее следить за тем, чем занимаются их сотрудники, ну а пользователям — более придирчиво относиться к мобильным приложениям, в которых требуется вводить свои платежные данные.