close-btn
PaySpace Magazine Global toggle EN
Ми в соцмережах:
PaySpace Magazine Global toggle EN

Digital Security: российские приложения для мобильного банкинга содержат уязвимости

Исследовательский центр Digital Security представилобщественности результаты тестирования безопасности приложений для мобильного банкинга.

В ходе исследования были изучены мобильные приложения более чем 30 российских банков, в том числе и таких крупных розничных банков, как Сбербанк, Альфа-Банк, Банк Русский Стандарт и др.

Результаты исследования подтверждают тенденцию, отмеченную экспертами в традиционных ежегодных отчетах по исследовательской работе в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.

Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки “человек посередине”. 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS – одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.

Среди мобильных приложений для iOS в тройку лидеров вошли мобильные приложения СИАБ, Мастер-Банка и Финансовой группы “Лайф”. Среди приложений для Android лидируют также СИАБ и Мастер-Банк (первое и второе место соответственно), третье место занимает МТС-Банк. Далее по защищенности следуют в порядке убывания мобильные приложения для iOS следующих банков: Банка24.ру, РосЕвроБанка, Банка БФА, Банка “Народный кредит”, Сбербанка, МТС-Банка и Банка “Санкт-Петербург”. Для Android в порядке убывания – ФБИиР, РосЕвроБанка, Московского Кредитного Банка, Примсоцбанка, Банка Русский Стандарт, МДМ-Банка, Инвестбанка.

“У злоумышленников есть множество путей реализации атак. При этом затраты на проведение атаки могут в реальной среде быть весьма низкими по сравнению с возможной выгодой”, – отмечают эксперты Digital Security.

Для корректной и безопасной работы приложений для мобильного банкинга авторы исследования рекомендуют: осведомлять программистов по вопросам безопасности, закладывать безопасность в архитектуру, проводить аудит кода, проводить анализ защищенности приложения, применять параметры компилятора, связанные с безопасностью, контролировать распространение приложения в сети Интернет, быстро закрывать уязвимости и выпускать обновления.

Хочу отримувати:

ТОП новини, квитки на заходи, безкоштовно!

facebook

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: