Zaufana Trzecia Strona przyjrzała się aplikacji napisanej przy użyciu tzw. bibliotek mobilnych Przelewy24
Zaufana Trzecia Strona przyjrzała się aplikacji napisanej przy użyciu tzw. bibliotek mobilnych Przelewy24 Fot. Renata Dąbrowska / Agencja Gazeta
Reklama.
Zaufana Trzecia Strona podkreśla, że problemy nie dotyczą przeglądarkowej wersji – w tym wariancie usługa Przelewy24 działa poprawnie.
Jest zgoła inaczej, gdy korzystamy z aplikacji napisanej dzięki bibliotekom mobilnym Przelewy24. W uproszczeniu biblioteki te służą do tego, by – tworząc własną aplikację – zaimplementować w niej usługę płatności Przelewy24. Biblioteki wykorzystują mechanizm tzw. przeglądarki osadzonej. Z perspektywy użytkownika wygląda to tak, że widzi panel usługi przelewy, następnie przekierowywany jest na stronę wybranego banku, będąc wciąż niejako wewnątrz tej aplikacji.
Teraz zaczyna się robić ciekawie. Otóż biblioteki miały funkcje do przesady „wygodne”. Zapamiętywały hasło użytkownika banku, przepisywały kod autoryzacyjny z SMS. Dane te były zapisywane w pamięci urządzenia.
Poprosiliśmy o komentarz Przelewy24.
Michał Bzowy, wiceprezes zarządu Przelewy24.pl

Autor artykułu opublikowanego na portalu Zaufana Trzecia Strona wskazuje na zagrożenie polegające na phishingu z wykorzystaniem zmodyfikowanej biblioteki osadzonej w aplikacji mobilnej. Jak sam twierdzi, niezbędna jest do tego złośliwa aplikacja imitująca oficjalną aplikację mobilną danego sklepu/serwisu, w której wdrożona będzie przeglądarka kierująca na fałszywą stronę banku. Zatem odpowiadając na zadane przez Pana pytanie, samo wykorzystanie biblioteki nie może być przyczyną wycieku danych. Jest ona tylko częścią aplikacji i aby mogło dojść do ewentualnego nadużycia, musi powstać złośliwa aplikacja.


Michał Bzowy, wiceprezes zarządu Przelewy24.pl

Warto podkreślić, że moduł WebView (przeglądarka do umieszczenia wewnątrz aplikacji) jest wykorzystywany przez wszystkich operatorów płatności oferujących biblioteki mobilne w Polsce. Dane autoryzacyjne nie są zapisywane na urządzeniu użytkownika. Dotyczy to zarówno poprzedniej, jak i nowej wersji biblioteki mobilnej. Obecna wersja została przygotowana do realizacji szerszego zakresu funkcjonalnego. Dodatkowo rozszerzono zakres zabezpieczeń i zoptymalizowano jej kod. [...] Zagrożenie opisane przez Zaufaną Trzecią Stronę nie dotyczy bezpośrednio narzędzi dostarczanych przez operatorów płatności. Mówimy o podstawionej aplikacji, z modułem WebView, który przechwytuje dane logowania do banku.

źródło: Zaufana Trzecia Strona