Re: Κενό ασφαλείας από Εθνική Τράπεζα Ελλάδος για Android

Παίδες, από όσο ξέρω από το xamarin και το VS, το πληκτρολόγιο

είναι entity της entry φόρμας για user_name & passwd.

Δεν φαίνεται να είναι άλλο πρόγραμμα. Επίσης, και σε java, το

πληκτρολόγιο είναι κλήση local κλάσης του OS. Το ζήτημα είναι

που, και μέσα από ποιό link, γίνεται το authentication των data.

Σε in-house servers της τράπεζας, ή σε εξωτερικούς;

Τη καλησπέρα μου,

Γιάννης

----- Original Message -----

From: Ioannis Proios

To: Gregory Potamianos ; debian-user-greek@lists.debian.org

Sent: Monday, October 02, 2017 6:02 PM

Subject: Re: Κενό ασφαλείας από Εθνική Τράπεζα Ελλάδος για Android

Άν το δοκιμάσεις, να ανοίξεις την εφαρμογή, θα δεις ότι όταν βάζεις τον κέρσορα στο username ή στο password το Android κάνει popup κάποιο πρόγραμμα πληκτρολογίου (ο αφελής χρήστης βάζει ότι νάνε) με αποτέλεσμα αυτά που γράφει περνάνε από κώδικα που δεν ξέρουμε τι κάνει.
Το ποιό απλό θα ήταν το πληκτρολόγιο να είναι κώδικας της ίδιας εφαρμογής της Εθνικής ή να δούνε και κάτι άλλο πως δουλεύει και να κάνουν το ίδιο.

Ας ελπίσουμε ότι θα το κάνουν γρήγορα ...

Στις Δευ, 2 Οκτ 2017 στις 4:37 μ.μ., ο/η Gregory Potamianos <gregpuppy@gmail.com> έγραψε:

2017-09-26 23:21 GMT+03:00 Ioannis Proios <john.proios@gmail.com>:

Καλησπέρα σε όλους.

Κοινοποιώ το συγκεκριμένο θέμα στην λίστα όχι γιατί την ενδιαφέρει άμεσα, αλλά γιατί νομίζω θα ενημερωθούν οι ενδιαφερόμενοι γρηγορότερα .

Η εφαρμογή λοιπόν για Android της Εθνικής Τράπεζας της Ελλάδος κάνει το τραγικό σφάλμα να χρησιμοποιεί εξωτερική εφαρμογή τρίτου κατασκευαστή ώστε να περνάει ο χρήστης την πιστοποίηση που απαιτεί η τράπεζα.

IMHO καλό είναι όταν γράφεται κάτι τέτοιο να είναι πιο συγκεκριμένο, αλλιώς δεν έχει αξία παρά μοιάζει πιο πολύ με FUD. Μπορείς να μας πείς ποιός είναι ο τρίτος κατασκευαστής και σε ποιό ακριβώς κομμάτι της πιστοποίησης παρεμβάλεται; Χωρίς αυτό ούτε μπορούμε να αξιολογήσουμε την πληροφορία ούτε να προστατευτούμε με κάποιον συγκεκριμένο τρόπο.

Reply to: