Вина за потерю денег с помощью голосовых команд ляжет на пользователей

Вина за потерю денег с помощью голосовых команд ляжет на пользователей

Вина за потерю денег с помощью голосовых команд ляжет на пользователей

Российские банки начали вводить в своих мобильных сервисах возможность совершения переводов между счетами и оплаты услуг с помощью голосовых команд. Об этом «Известиям» рассказали, в частности, в Бинбанке и банке «Открытие». Бинбанк реализовал возможность проведения операций с помощью голосовых команд на базе технологии Yandex SpeechKit, «Открытие» — на основе сервиса Siri.

Внедрить голосовые команды на базе технологий Apple до конца 2017 года планирует и Промсвязьбанк. Пока нововведение могут опробовать только владельцы iPhone: для платформы Android подобная возможность еще не реализована. По словам банкиров, новая опция позволяет клиентам совершать трансакции более оперативно. Эксперты при этом опасаются, что уязвимостями голосовых помощников смогут воспользоваться мошенники, пишет iz.ru.

Российские кредитные организации по аналогии с зарубежными — например, Royal Bank of Scotland — делают ставку на направление conversational banking и вводят возможность совершения действий в мобильном банке с помощью голосовых команд. Такой подход позволяет избавить клиента от необходимости концентрироваться на визуальных интерфейсах и позволяет тратить меньше времени на повседневные операции.

Пока новая опция доступна только для владельцев iPhone. Бинбанк реализовал ее на базе голосового помощника Yandex SpeechKit, банк «Открытие» — на основе сервиса Siri. По словам вице-президента, руководителя блока «Цифровой бизнес» Промсвязьбанка Алгирдаса Шакманаса, банк до конца года также внедрит опцию совершения платежей с помощью Siri. Эксперт уточнил: чтобы воспользоваться голосовым помощником при совершении операции, клиенту нужно встроить поддержку платежных интентов SiriKit (или Yandex SpeechKit соответственно) в мобильное приложение банка и создать шаблон с нужными реквизитами для переводов. После этого при совершении операций в мобильном банке достаточно будет дать голосовую команду — например, о переводе средств.

— Мы изучаем интерес клиентов к возможности управления своими финансами при помощи голосовых запросов со смартфона, и первым шагом стал запуск функции голосового управления в версии мобильного банка для владельцев iPhone, число которых составляет около 30% аудитории банковских клиентов, — рассказал начальник отдела мобильных сервисов Бинбанка Алексей Курзяков. — Выбор в пользу Yandex SpeechKit продиктован пока еще недостаточно высоким качеством распознавания русского языка при помощи Siri. При положительной реакции пользователей мы в течение нескольких месяцев внедрим эту опцию в версию мобильного приложения для смартфонов с ОС Android, затем появится возможность пользоваться ею с помощью Siri.

Директор по digital и digital-маркетингу банка «Открытие» Виктор Яковлев отметил, что новая опция позволяет осуществить более быстрый перевод средств между клиентами.

Впрочем, по словам начальника отдела перспективных технологий Уральского банка реконструкции и развития Михаила Цыкарева, реализация этого нововведения несет в себе и определенные риски: используя уязвимости сервиса Siri, злоумышленники могут получить доступ к финансам владельца. Так, в июле 2017 года были обнаружены сценарии, позволяющие именно на смартфонах Apple реализовать операцию по переводу средств без ведома владельца, указал собеседник «Известий».

— За уязвимости в платформе несут ответственность компании — разработчики телефона и мобильной платформы, а пострадавшим лицом будет именно конечный пользователь, которому банк не вернет средства, — уточнил он.

По данным компании Positive Technologies, специализирующейся на кибербезопасности, в 64% мобильных банковских приложений в прошлом году была выявлена хотя бы одна критически опасная уязвимость. При этом более защищенно могут чувствовать себя пользователи iOS, считают специалисты. Но даже в этой ситуации в каждом третьем «мобильном банке» можно перехватить данные для доступа к счетам пользователя, следует из статистики Positive Technologies.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

4,2 млн хостов открыты для атак из-за уязвимых протоколов туннелирования

Протоколы туннелирования IP in IP и GRE не предусматривают аутентификации и шифрования трафика и потому уязвимы к злоупотреблениям. Сканирование Сети выявило более 4,26 млн хостов, не использующих дополнительной защиты вроде IPSec.

Как выяснила команда Top10VPN, эти роутеры и серверы принимают сетевые пакеты без проверки отправителя. Это открывает возможность для спуфинга (подмены IP-адреса) с целью вброса вредоносного трафика в туннель.

data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" version="1.1" viewBox="0 0 68 48"><path fill="%23f00" fill-opacity="0.8" d="M66.52,7.74c-0.78-2.93-2.49-5.41-5.42-6.19C55.79,.13,34,0,34,0S12.21,.13,6.9,1.55 C3.97,2.33,2.27,4.81,1.48,7.74C0.06,13.05,0,24,0,24s0.06,10.95,1.48,16.26c0.78,2.93,2.49,5.41,5.42,6.19 C12.21,47.87,34,48,34,48s21.79-0.13,27.1-1.55c2.93-0.78,4.64-3.26,5.42-6.19C67.94,34.95,68,24,68,24S67.94,13.05,66.52,7.74z"></path><path d="M 45,24 27,14 27,34" fill="%23fff"></path></svg>

Выявленные схожие уязвимости получили следующие идентификаторы:

Эксплойт осуществляется отправкой инкапсулированного пакета с двумя IP-заголовками. По получении уязвимый хост автоматом перенаправит его указанному получателю; поскольку источник (IP-адрес) изменился и более не вызывает подозрений, вредоносное послание имеет все шансы обойти сетевые фильтры.

В интернете обнаружено свыше 4,26 млн уязвимых хостов, поддерживающих туннелирование. Это серверы VPN и CDN, домашние и магистральные роутеры, шлюзы мобильных сетей, которые в случае взлома можно использовать для проксирования вредоносного трафика, проведения DDoS-атак или получения доступа к приватным сетям.

 

Исследователи сообщили о своих находках в координационный центр CERT при университете Карнеги – Меллона (CERT/CC) с тем, чтобы запустить оповещение затронутых провайдеров и укрепление защиты хостов.

По словам Top10VPN, на уровне хоста ситуацию можно исправить, добавив IPSec либо WireGuard и запретив прием инкапсулированных пакетов из недоверенных источников. Защититься от эксплойта на сетевом уровне помогут фильтрация трафика (роутеры и промежуточные устройства), системы DPI, а также блокировка нешифрованных пакетов в туннелях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru