У популярного сервиса Visa QIWI Wallet есть одна неприятная особенность, которую можно с полным основанием считать уязвимостью уровня архитектуры: после смены на сайте пароля доступа к электронному кошельку установленные мобильные клиенты не требуют повторной аутентификации и продолжают работать как ни в чём не бывало. «По данному вопросу Вам необходимо обратиться в техподдержку по адресу support@qiwi.ru», — комментируют проблему в службе безопасности оператора электронных денег. Техническая поддержка отвечает столь же односложно: «В данной ситуации рекомендуем выходить из приложений».
Трудно сказать, какой именно выход имеется в виду: при тестировании работу мобильных клиентов системы QIWI мы завершали и даже выключали устройства для чистоты эксперимента. На результат это не повлияло — после запуска программы платежи всё равно осуществлялись без повторного ввода пароля. Для сравнения: смена пароля на сайте Яндекса приводит к требованию повторной аутентификации в клиенте Яндекс.Денег.
Похоже, QIWI использует разные уровни системы безопасности для приложений и сайта. Подобный подход имеет право на существование и практикуется, к примеру, в Dropbox — там клиентские программы продолжат работать, если пользователь сменит пароль. Только Dropbox позволяет отменить авторизацию любой машины (сделать Unlink) или стороннего клиента в настройках профиля, а в QIWI такой возможности нет, имеется только глобальное отключение доступа из приложений.
Очень неудобная, кстати, штука: если убрать на сайте соответствующую галочку, то мобильная программа сообщает о невозможности авторизации и кошелёк недоступен, но взаимодействовать с сервисом в этом случае придётся только через сайт или терминалы. Если настройку вернуть, мобильные приложения снова заработают, не требуя ввода пароля. Мало того, платежи из клиентской программы проводятся без подтверждений с помощью высылаемых в SMS разовых паролей, даже если пользователь активирует эту возможность.
Программа при этом может работать не только на привязанном к кошельку телефоне. Замена SIM на её функционирование не влияет — клиент запускается даже на iPad 4 Wi-Fi, который вообще не имеет модуля сотовой связи. Защита здесь работает однократно: при первом входе в кошелёк на привязанный к нему телефон приходит SMS с одноразовым кодом для подтверждения авторизации, а дальше никаких паролей и подтверждений мобильные приложения уже не требуют.
Судя по ответам сотрудников QIWI, подобную ситуацию в компании проблемой не считают, а потому и нам нет смысла молчать. Понятно, что это не бог весть какая брешь в защите (вероятность её эксплуатации мала), но если вы потеряете телефон с установленным клиентом Visa QIWI Wallet, кошелёк становится потенциально уязвимым. Единственный способ его обезопасить — отключить возможность использования мобильных приложений и работать с системой только через сайт и терминалы. Можно также поставить пароль на запуск программы.
P.S. Теперь на сайте Visa QIWI Wallet можно блокировать коды доступа отдельных приложений, так что проблема была решена оперативно.