Исследователи обнаружили, что популярный «Urban VPN Proxy» и семь связанных с ним расширений в...

сам впн ничего красть не может а вот различные расширения для браузера это беда

Да это априори анти-паттрен. Пароль нигде не должен храниться кроме как в моей голове. А креды передавать в GET-параметрах бред просто потому что они могут легко утечь в логи Firebase/Sentry/на их серверах, whatever

про урлы... Я Myfin сниффал через MITM, у них все выборки через GET, токены в URL-параметрах но что еще хуже — они хранят сырой пароль в iOS Enclave и при разлоке лицом отправляют его в url-параметры для получения нового jwt токена это я так просто к слову .. кому мы доверяем наши деньги

О вопросе, что крадут все остальные популярные анонимные прокси, лучше не задумываться

насколько я понимаю, это если сами приложения секьюрную информацию корректно передают, типа каких-нибудь паролей, которые не пихают в урлы в качестве параметров строки… Насчет этого я вот не уверена, как-то попадался отчет относительно безопасности приложений топ ру банков, сплошь и рядом схожие ошибки. а уж прокси анализировать этот трафик и вычленять по маскам интересные им вещи типа апикеев — не такая сложная задача 🌚

это так не работает

SSL шифрует все после доменного имени в URL, так что токены в нем - не такая большая проблема. Если только что-то течет в кластере после ssl termination ну или через плагин на стороне клиента, до того как оно уходит в канал

Только сегодня в параллельном профильном чате обсуждалась тема: безопасно ли с включённым VPN пользоваться банковскими приложениями для мобильной связи.)) Пришли к согласию, что безопасно. Если VPN надёжный.))

а если там: - не HTTPS, - или приложение не проверяет сертификаты корректно? 🌚

и самоподписанные серты не используют еще скажите 😁

это кстати интересный вопрос — никогда не вникала, проводит ли аудит гугл/эпл на предмет такого при публикации приложениях в их магазинах. Или они такие: защищено TSL — значит это головная боль сервера обработки запроса

зачем им какой-то аудит)) на них нет ответственности

они делают какой-то аудит, об этом мне рассказывали коллеги. Чат ГПТ говорит, что минимально проверяют: типа не используй HTTP/работай правильно с сертами. Передачу пароля в урле даст сделать, но при жалобе/расследовании у публикатора могут быть разборки и бан — не знаю, что это может значит, возможно, какая-то галлюцинация 😂

Нет конечно Никто не использует в проде никакие самоподписанные серты

Я бы за “рога и копыта супер ВПН” не был бы так уверен. Полтора студента второкрусника на поддержке - может быть вообще что угодно

При чем тут впн? Речь про приложухи банковские и прочие

Пиннинги не проверяют. Более того, на iOS их почти нигде нет

“There was a major Microsoft SharePoint zero-day vulnerability in mid-2025 (around July) involving CVE-2025-53770 (RCE) and CVE-2025-53771 (spoofing), allowing attackers unauthenticated access and lateral movement in on-premises SharePoint environments, not cloud versions, leading to rapid exploitation by state-sponsored groups like Linen Typhoon and Violet Typhoon, requiring urgent patching for affected SharePoint Server versions. ” - бывает по-разному, особенно если работает Хадарабад

ну это всё-таки другое немного, я скорей сомневаюсь в процессах обеспечения безопасности мобильных приложений критически важных сервисов. Но отличная идея, поискать какие-нибудь исследования критически важных приложений

Это было просто как пример, что хватает и “толстых пальцев” и безолаберности и банальной некомпетентности вне зависимости от размера, процессов и тд

Можете, пожалуйста, ответить мне в личных сообщениях 🙏🏽 Очень есть вопрос к вам