Эксперты нашли уязвимости в каждом втором мобильном банке
Компания Positive Technologies проанализировала банковские мобильные приложения и выяснила, что в каждом втором мобильном банке возможны мошеннические операции и кража денежных средств.
Как показал анализ, ни одно из исследованных приложений не обладает приемлемым уровнем защищенности. Под угрозой как клиентские, так и серверные части банковских приложений (серверная часть — это веб-приложение, которое находится на стороне банка и взаимодействует с мобильным клиентом через интернет посредством специального интерфейса (API); клиентская — это мобильное приложение, установленное на устройстве пользователя).
Для клиентской части приложений основную угрозу представляет возможный доступ к данным пользователей, так как 43% приложений хранят важные данные на мобильном устройстве в открытом виде. В 13 из 14 клиентских частей возможен доступ к данным пользователей. При этом 76% уязвимостей можно проэксплуатировать без физического доступа к устройству, а более трети уязвимостей не требуют административных прав.
54% всех уязвимостей содержатся в серверной части приложений.
В каждом втором мобильном банке возможны проведение мошеннических операций и кража денежных средств. В пяти из семи приложений под угрозой логины и пароли от личных кабинетов пользователей, а в каждом третьем приложении могут быть украдены данные банковских карт. Среди информации, доступной нарушителю: имена и фамилии пользователей, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.
По данным экспертов, все недостатки, выявленные в мобильных банках для iOS, были не выше среднего уровня риска. В то время как 29% приложений для Android содержали уязвимости высокого уровня риска. Разработчикам Android-приложений предоставляется больше возможностей для реализации различной функциональности. Именно в этом эксперты видят главную причину большего количества уязвимостей в приложениях под Android в сравнении с iOS-приложениями.
Эксперты Positive Technologies рекомендуют банкам уделять больше внимания вопросам безопасности. Ввиду большого количества недостатков в исходном коде стоит пересмотреть подходы к разработке мобильных приложений: решением может стать внедрение процессов безопасной разработки и контроль защищенности приложения на всех этапах его жизненного цикла.
Также необходимо учитывать, что для эксплуатации 87% уязвимостей злоумышленнику требуются какие-либо действия со стороны пользователя. Специалисты настоятельно рекомендуют устанавливать приложения только из официальных магазинов, не посещать подозрительные сайты и не переходить по ссылкам из мессенджеров или SMS, а также своевременно обновлять ОС и мобильное ПО.
Изображение: Lori.ru