ИТ / Новости
информбезопасность ПО
20.4.2020

Эксперты нашли уязвимости в каждом втором мобильном банке

Компания Positive Technologies проанализировала банковские мобильные приложения и выяснила, что в каждом втором мобильном банке возможны мошеннические операции и кража денежных средств.

Для исследования было выбрано 14 мобильных приложений для Android и iOS семи банков, скачанных из официальных магазинов Google Play и App Store не менее 500 тысяч раз.

Как показал анализ, ни одно из исследованных приложений не обладает приемлемым уровнем защищенности. Под угрозой как клиентские, так и серверные части банковских приложений (серверная часть — это веб-приложение, которое находится на стороне банка и взаимодействует с мобильным клиентом через интернет посредством специального интерфейса (API); клиентская — это мобильное приложение, установленное на устройстве пользователя).

Для клиентской части приложений основную угрозу представляет возможный доступ к данным пользователей, так как 43% приложений хранят важные данные на мобильном устройстве в открытом виде. В 13 из 14 клиентских частей возможен доступ к данным пользователей. При этом 76% уязвимостей можно проэксплуатировать без физического доступа к устройству, а более трети уязвимостей не требуют административных прав.

54% всех уязвимостей содержатся в серверной части приложений.

В каждом втором мобильном банке возможны проведение мошеннических операций и кража денежных средств. В пяти из семи приложений под угрозой логины и пароли от личных кабинетов пользователей, а в каждом третьем приложении могут быть украдены данные банковских карт. Среди информации, доступной нарушителю: имена и фамилии пользователей, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.

По данным экспертов, все недостатки, выявленные в мобильных банках для iOS, были не выше среднего уровня риска. В то время как 29% приложений для Android содержали уязвимости высокого уровня риска. Разработчикам Android-приложений предоставляется больше возможностей для реализации различной функциональности. Именно в этом эксперты видят главную причину большего количества уязвимостей в приложениях под Android в сравнении с iOS-приложениями.

Эксперты Positive Technologies рекомендуют банкам уделять больше внимания вопросам безопасности. Ввиду большого количества недостатков в исходном коде стоит пересмотреть подходы к разработке мобильных приложений: решением может стать внедрение процессов безопасной разработки и контроль защищенности приложения на всех этапах его жизненного цикла.

Также необходимо учитывать, что для эксплуатации 87% уязвимостей злоумышленнику требуются какие-либо действия со стороны пользователя. Специалисты настоятельно рекомендуют устанавливать приложения только из официальных магазинов, не посещать подозрительные сайты и не переходить по ссылкам из мессенджеров или SMS, а также своевременно обновлять ОС и мобильное ПО.

Изображение: Lori.ru

Еще по теме

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы

Когда российский бизнес начнет замещать импортное ИТ-оборудование

Чего добились за два года активного импортозамещения ПО

Как искусственный интеллект меняет банковскую систему РФ

Как проходит цифровая трансформация отечественного госсектора

Процесс замены иностранного софта близится к завершению – и это вызов