State of security of Android banking apps in Poland

演讲提及了多个波兰银行的漏洞,其中一个比较特别:Android App生成SSO Link,打开Browser,进行SSO登陆。

实习的方式是通过Intent。然而,Android中可以安装多个浏览器,每一个浏览器都可以捕捉该Intent,假如用户安装了一个恶意的Browser,用它打开SSO Link,恶意Browser就可以拦截个SSO Link, 返回一个虚假的页面,并将此URL发送到黑客。黑客就能以用户的身份登陆。

Watch on YouTube

Show Comments