Hemos conocido a través de SecurityTracker una vulnerabilidad en la aplicación para móvil llamada Citi Mobile. Esta aplicación sirve para que los usuarios de Citibank, primer banco nacional en los Estados Unidos, realicen operaciones bancarias por medio de distintos dispositivos móviles.
Dicha vulnerabilidad permite a un usuario local del dispositivo obtener datos sensibles de la cuenta. Esto es debido a que la aplicación Citi Mobile almacena información crítica, como números de cuenta, pagos de facturas y códigos de acceso de seguridad, en un archivo oculto dentro del dispositivo, con lo que cualquier usuario local podría acceder a esta información.
Además se ha descubierto que si el dispositivo realiza copias de seguridad a través del iTunes, un usuario local en el sistema donde se ha realizado la copia en el iTunes también podría acceder a dicha información.
Desde el departamento técnico de ESET en Ontient.com, aconsejamos a los usuarios de esta aplicación actualizar a la versión 2.0.3 que ya repara esta vulnerabilidad. Los usuarios de iTunes pueden acceder directamente a esta nueva versión desde el siguiente enlace: http://itunes.apple.com/us/app/citi-mobile-sm/id301724680?mt=8.
David Sánchez