Исследовательский центр Digital Security представилобщественности результаты тестирования безопасности приложений для мобильного банкинга.
В ходе исследования были изучены мобильные приложения более чем 30 российских банков, в том числе и таких крупных розничных банков, как Сбербанк, Альфа-Банк, Банк Русский Стандарт и др.
Результаты исследования подтверждают тенденцию, отмеченную экспертами в традиционных ежегодных отчетах по исследовательской работе в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.
Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS – одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.
Среди мобильных приложений для iOS в тройку лидеров вошли мобильные приложения СИАБ, Мастер-Банка и Финансовой группы «Лайф». Среди приложений для Android лидируют также СИАБ и Мастер-Банк (первое и второе место соответственно), третье место занимает МТС-Банк. Далее по защищенности следуют в порядке убывания мобильные приложения для iOS следующих банков: Банка24.ру, РосЕвроБанка, Банка БФА, Банка «Народный кредит», Сбербанка, МТС-Банка и Банка «Санкт-Петербург». Для Android в порядке убывания – ФБИиР, РосЕвроБанка, Московского Кредитного Банка, Примсоцбанка, Банка Русский Стандарт, МДМ-Банка, Инвестбанка.
«У злоумышленников есть множество путей реализации атак. При этом затраты на проведение атаки могут в реальной среде быть весьма низкими по сравнению с возможной выгодой», – отмечают эксперты Digital Security.
Для корректной и безопасной работы приложений для мобильного банкинга авторы исследования рекомендуют: осведомлять программистов по вопросам безопасности, закладывать безопасность в архитектуру, проводить аудит кода, проводить анализ защищенности приложения, применять параметры компилятора, связанные с безопасностью, контролировать распространение приложения в сети Интернет, быстро закрывать уязвимости и выпускать обновления.