Банковские мобильные приложения для Android оказались уязвимыми для хакеров, которые используют уязвимость кросс-платформенного скриптинга (CAS) для хищения денежных средств с банковских счетов.
Специалисты IBM обнаружили кросс-платформенную уязвимость в инфраструктуре Apache Cordova. Как говорят исследователи, теперь хакеры могут похитить учетные и другие конфиденциальные данные с одного из десяти банковских мобильных приложений для Android. Также, опасности подвергается около 6% всех приложений, созданных с помощью этой среды разработки.
По словам специалистов, уязвимость кросс-платформенного скриптинга позволяет злоумышленникам удаленно внедрить вредоносный JavaScript-код в контекст уязвимого приложения.
Также мошенники могут обманным путем заставить жертву посетить вредоносный сайт, который сможет проэксплуатировать уязвимость и выполнить произвольный код на устройстве (телефон, планшет и т.п.) с привилегиями уязвимого приложения.
Эта уязвимость может также использоваться для хищения учетных данных для доступа к банковским счетам и проведения финансовых транзакций.
В настоящий момент производитель выпустил исправленную версию Apache Cordova 3.5.1. SecurityLab рекомендует разработчикам, использующим уязвимую версию фрэймворка, в кратчайшие сроки обновить свои приложения.
Спойлер: мы раскрываем их любимые трюки