Positive Technologies: в каждом втором мобильном банке возможна кража денежных средств

Эксперты Positive Technologies проанализировали банковские мобильные приложения и выяснили, что более половины всех выявленных уязвимостей содержатся в серверных частях приложений, а в каждом втором мобильном банке возможны мошеннические операции и кража денежных средств.

Как показал анализ, ни одно из исследованных мобильных банковских приложений не обладает приемлемым уровнем защищенности. Под угрозой как клиентские, так и серверные части банковских приложений. Для клиентской части приложений основную угрозу представляет возможный доступ к данным пользователей, ведь 43% приложений хранят важные данные на мобильном устройстве в открытом виде. При этом 76% уязвимостей можно проэксплуатировать без физического доступа к устройству, а более трети уязвимостей не требуют административных прав.

По данным экспертов, все недостатки, выявленные в мобильных банках для iOS, были не выше среднего уровня риска. В то время как 29% приложений для Android содержали уязвимости высокого уровня риска. Наиболее опасные уязвимости выявлены в Android-приложениях и связаны с небезопасной обработкой ссылок deeplink. Разработчикам Android-приложений предоставляется больше возможностей для реализации различной функциональности. Именно в этом эксперты видят главную причину большего количества уязвимостей в приложениях под Android в сравнении с iOS-приложениями.

Как показал анализ, 54% всех уязвимостей содержатся в серверных частях мобильного банка, а серверная часть каждого мобильного банка содержит в среднем 23 уязвимости. При этом три из семи серверных частей приложений содержат ошибки бизнес-логики. Речь идет о функциональности, которой могут воспользоваться злоумышленники для совершения мошеннических операций или получения конфиденциальных данных пользователей. Ошибки в бизнес-логике могут принести банку существенные финансовые убытки и даже повлечь судебные разбирательства, отмечают специалисты.

В каждом втором мобильном банке возможно проведение мошеннических операций. Наиболее уязвимыми в мобильных банковских приложениях оказались аутентификационные данные.

«Несанкционированный доступ к приложению, как правило, вызван недостатками аутентификации или авторизации, — отмечает аналитик Positive Technologies Ольга Зиненко. — Наше исследование показало, что учетные записи пользователей мобильных банков доступны злоумышленникам в пяти из семи серверных частей. Среди информации, доступной нарушителю: имена и фамилии пользователей, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона».

Эксперты Positive Technologies рекомендуют банкам уделять больше внимания вопросам безопасности как на этапе проектирования мобильных приложений, так и на стадии разработки. Ввиду большого количества недостатков в исходном коде стоит пересмотреть подходы к разработке: решением может стать внедрение процессов безопасной разработки и контроль защищенности приложения на всех этапах его жизненного цикла.

Также необходимо учитывать, что для эксплуатации 87% уязвимостей злоумышленнику требуются какие-либо действия со стороны пользователя. Специалисты настоятельно рекомендуют пользователям не повышать привилегии в ОС до административных, устанавливать приложения только из официальных магазинов, не посещать подозрительные сайты и не переходить по ссылкам из мессенджеров или SMS, а также своевременно обновлять ОС и мобильное ПО.

  1. Для исследования было выбрано 14 полнофункциональных банковских мобильных приложений для Android и iOS, скачанных из официальных магазинов Google Play и App Store не менее 500 000 раз, создатели и владельцы которых не возражали против тестирования и использования его результатов в исследовательских целях.
  2. Cерверная часть мобильного банка — это веб-приложение, которое находится на стороне банка и взаимодействует с мобильным клиентом через интернет посредством специального интерфейса (API). Клиентская часть мобильного банка — это мобильное приложение, установленное на устройстве пользователя.
  3. Deep linking – технология, благодаря которой пользователь может перемещаться между приложениями или разделами одного приложения в заранее определенные разделы с помощью специальных ссылок, подобно тому, как это сделано в веб-приложениях.
Хотите быть в курсе последних событий?
Подпишитесь на рассылку новостей Axoft
Следите за нашими новостями в социальных сетях
Популярное
Acronis представил Acronis Backup 12.5 Advanced

Компания Acronis - мировой лидер в сфере защиты и хранения данных, представляет долгожданный выпуск Acronis Backup 12.5 Advanced.

В данном решении был обновлен функционал, а также добавлены новые эксклюзивные технологии Acronis Active Protection и Acronis Notary.

Подробнее
13.09.2017 09:00:00
Axoft стал единственным дистрибутором Kerio в странах СНГ
Компания Axoft, сервисный IT-дистрибутор, стала единственным дистрибутором Kerio в странах СНГ. В новом статусе Axoft сконцентрируется на повышении узнаваемости Kerio в регионе присутствия среди пользователей, а также решении технических вопросов, возникающих при внедрении и эксплуатации продуктов производителя.
Подробнее
17.09.2017
Последние новости
Ivanti заняла позицию лидера в Gartner Magic Quadrant среди компаний, разрабатывающих инструменты для управления ИТ-сервисами
Компания Ivanti была названа лидером в Gartner Magic Quadrant 2020 года среди компаний, разрабатывающих инструменты для управления ИТ-сервисами и ИТ-услугами. Ivanti был помещен в квадрант претендентов в отчете за 2019 год и в квадрант лидеров в 2020 году.
Подробнее
20.10.2020
«Лаборатория Касперского» выявила кампанию кибершпионажа против промышленных предприятий
«Лаборатория Касперского» обнаружила набор вредоносных модулей MontysThree, существующий как минимум с 2018 года и предназначенный для целевых атак на промышленные предприятия.
Подробнее
08.10.2020