IT / Новости
информбезопасность ПО
20.4.2020

Эксперты нашли уязвимости в каждом втором мобильном банке

Компания Positive Technologies проанализировала банковские мобильные приложения и выяснила, что в каждом втором мобильном банке возможны мошеннические операции и кража денежных средств.

Для исследования было выбрано 14 мобильных приложений для Android и iOS семи банков, скачанных из официальных магазинов Google Play и App Store не менее 500 тысяч раз.

Как показал анализ, ни одно из исследованных приложений не обладает приемлемым уровнем защищенности. Под угрозой как клиентские, так и серверные части банковских приложений (серверная часть — это веб-приложение, которое находится на стороне банка и взаимодействует с мобильным клиентом через интернет посредством специального интерфейса (API); клиентская — это мобильное приложение, установленное на устройстве пользователя).

Для клиентской части приложений основную угрозу представляет возможный доступ к данным пользователей, так как 43% приложений хранят важные данные на мобильном устройстве в открытом виде. В 13 из 14 клиентских частей возможен доступ к данным пользователей. При этом 76% уязвимостей можно проэксплуатировать без физического доступа к устройству, а более трети уязвимостей не требуют административных прав.

54% всех уязвимостей содержатся в серверной части приложений.

В каждом втором мобильном банке возможны проведение мошеннических операций и кража денежных средств. В пяти из семи приложений под угрозой логины и пароли от личных кабинетов пользователей, а в каждом третьем приложении могут быть украдены данные банковских карт. Среди информации, доступной нарушителю: имена и фамилии пользователей, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.

По данным экспертов, все недостатки, выявленные в мобильных банках для iOS, были не выше среднего уровня риска. В то время как 29% приложений для Android содержали уязвимости высокого уровня риска. Разработчикам Android-приложений предоставляется больше возможностей для реализации различной функциональности. Именно в этом эксперты видят главную причину большего количества уязвимостей в приложениях под Android в сравнении с iOS-приложениями.

Эксперты Positive Technologies рекомендуют банкам уделять больше внимания вопросам безопасности. Ввиду большого количества недостатков в исходном коде стоит пересмотреть подходы к разработке мобильных приложений: решением может стать внедрение процессов безопасной разработки и контроль защищенности приложения на всех этапах его жизненного цикла.

Также необходимо учитывать, что для эксплуатации 87% уязвимостей злоумышленнику требуются какие-либо действия со стороны пользователя. Специалисты настоятельно рекомендуют устанавливать приложения только из официальных магазинов, не посещать подозрительные сайты и не переходить по ссылкам из мессенджеров или SMS, а также своевременно обновлять ОС и мобильное ПО.

Изображение: Lori.ru

Еще по теме

Методы борьбы с уязвимостями в системах лояльности и в процессах покупки

Российские высокие технологии проникли во все сферы экономики, но нуждаются в данных для развития

О трендах и перспективах цифровизации территорий России

В России хотят создать Совет по программно-аппаратным комплексам

Как избежать провалов в бизнесе при внедрении IТ-решений

Поможет ли перевод сайтов СМИ в публичные облака их кибербезопасности

Как проходит импортозамещение на рынке автономного транспорта в России

IT-отрасль ждет решения о господдержке экспорта ПО

Чего ждет IT-отрасль от эксперимента по использованию открытого ПО

Топ-5 актуальных запросов от пользователей российских BI-систем

Как совместить Bug Bounty и критически важные государственные ресурсы

Как защитить печатную инфраструктуру от взлома и утечек данных

Что бизнесу нужно знать о RPA-системах и каково будущее этой технологии

С чем сталкиваются госзаказчики при переходе на российский софт

Как бизнес и госсектор импортозамещают ВКС-решения