Un investigador en seguridad podría haber robado hasta 25 miles de millones de dólares de uno de los bancos más grandes de la India, gracias a la aplicación móvil vulnerable del banco.

El año pasado, el investigador en seguridad Sathya Prakash descubrió un número de vulnerabilidades críticas en la aplicación móvil bancaria de un banco que permitían robar dinero de cualquiera o de todos los clientes con la ayuda de unas cuantas líneas de código.

Mientras analizaba la aplicación móvil bancaria, Prakash descubrió que la aplicación carece de Certificate Pinning, permitiendo a cualquier atacante, usando técnicas de hombre en medio, degradar la conexión SSL y capturar peticiones en texto en claro usando certificados emitidos fraudulentamente.

Adicionalmente, Prakash también encontró que la aplicación móvil tenía una arquitectura de sesión insegura, permitiendo a un atacante realizar acciones críticas en contra del propietario de la cuenta, sin saber la contraseña, por ejemplo ver el estado de cuenta de la víctima y sus depósitos, así como agregar nuevos beneficiarios y hacer transferencias ilegales.

Por si esto no fuera suficiente, Prakash descubrió que la aplicación no revisaba si el identificador de un cliente dado o PIN para Autorizar Transacciones (MTPIN, por sus siglas en inglés) -usado para controles críticos como transferir fondos, creando un nuevo depósito- realmente correspondía a la cuenta del emisor.

Este descuido en la aplicación móvil bancaria podría haber permitido a cualquiera con la aplicación y una cuenta en el banco robar dinero de la cuenta de cualquier cliente, reportó Motherboard.