Positive Technologies: каждый второй мобильный банк подвержен краже денег

Мобильные банковские приложения недостаточно защищены от действий мошенников и хакеров — к такому выводу пришли специалисты компании Positive Technologies в исследовании «Уязвимости и угрозы мобильных банков». Аналитики проверили 14 банковских приложений, ни одно из которых, как оказалось, не обладает приемлемым уровнем защищенности. 

Читайте Bloomchain через любимые соцсети: TelegramVKFB

Positive Technologies исследовала 14 приложений для операционных систем Android и iOS, принадлежащих семи банкам из топ-50 крупнейших по величине активов. Каждое из рассматриваемых приложений было скачано из официальных магазинов (Google Play и AppStore) не менее 500 тыс. раз.

Специалисты изучили клиентские и серверные части этих приложений и пришли к выводу, что ни одно из них не обладает достаточной защитой. Клиентские части 13 из 14 приложений оставляют злоумышленникам возможность получить доступ к личным данным пользователей. При этом 76% уязвимостей можно эксплуатировать без физического доступа к устройству, а более трети не требуют административных прав управления.

Читайте также: как Сбербанк и Ростелеком предлагают бороться с социальной инженерией

Интересно, что большая часть уязвимостей (54%) содержится в серверной части приложения, то есть на стороне банка. Эта часть каждого из рассматриваемых приложений содержит в среднем 23 уязвимости, при этом в каждом втором мобильном банке эти уязвимости позволяют злоумышленникам проводить мошеннические операции. Уязвимости серверной части позволяют хакерам украсть данные банковских карт в каждом третьем приложении, а в семи из пяти приложений под угрозой логины и пароли от личных кабинетов пользователей.

Приложения, разработанные для операционной системы iOS, а именно их клиентская часть, содержат меньше уязвимостей, чем их аналоги для Android. Более того, все недостатки, обнаруженные в приложениях для iOS, были не выше среднего уровня риска, тогда как в 29% приложений для Android содержат уязвимости высокого уровня риска.

банкиИсточник: отчет Positive Technologies

В Positive Technologies считают, что пониженная безопасность Android-приложений — это плата за свободу, которую разработчики получают в реализации различной функциональности. 

Все рассматриваемые мобильные приложения имеют ряд схожих уязвимостей в своей клиентской части — эти уязвимости связаны непосредственно с кодом приложений. Банки не защищаются от угрозы анализа исходного кода путем его обфускации (запутывания). Они также не защищают приложения от инжектов и «перепаковки» данных, а в самом коде содержатся имена классов и методов.

банкиИсточник: отчет Positive Technologies

На стороне банков их приложения защищены еще меньше, чем на стороне клиента. Более половины приложений содержат уязвимости высокого уровня риска в своей серверной части. При этом большая часть уязвимостей (36%) позволяет проводить атаки на клиентов кредитной организации.

банкиИсточник: отчет Positive Technologies

Несмотря на то, что банки пытаются внедрять новые методы аутентификации клиентов, например, биометрическую идентификацию, уязвимости этой процедуры являются самыми распространенными — они встречаются в 6 из 14 приложений. 

банкиИсточник: отчет Positive Technologies

По данным Positive Technologies, в четвертом квартале 2019 года 67% атак были реализованы с использованием методов социальной инженерии. В новом исследовании специалисты вновь подчеркивают, что в 87% случаев злоумышленнику не удастся использовать уязвимость без определенных действий со стороны пользователя.

← Назад Поделиться:

Рекомендации

Банки с Уолл-стрит видят в цифровом долларе и других CBDC угрозу

Евгения Лиходей3 мин
Стартап STACS привлек $3.6 млн на разработку блокчейн-платформ для финансовых учреждений

Технические решения проекта помогают традиционным организациям применять современные технологии.

Евгения Лиходей2 мин

Аналитики PwC назвали лидеров на рынке разработки национальных цифровых валют

Исследователи разделили список на две категории: финансовые инструменты для оптовых и розничных целей.

Евгения Лиходей3 мин

Тинькофф-банк разработал сервис рассрочки, который не вредит кредитной истории

Система работает по популярному принципу «покупай сейчас, плати позже».

Евгения Лиходей2 мин

Qiwi сообщила о риске потери банковской лицензии

Представители компании считают, что Банк России может применить к ней новые санкции.

Евгения Лиходей2 мин

MasterCard покупает поставщика решений для идентификации пользователей за $850 млн

Поглощение подлежит одобрению регуляторов. MasterCard и Ekata рассчитывают закрыть сделку в течение шести месяцев.

Aртем Галунoв3 мин