Positive Technologies: каждый второй мобильный банк подвержен краже денег

Мобильные банковские приложения недостаточно защищены от действий мошенников и хакеров — к такому выводу пришли специалисты компании Positive Technologies в исследовании «Уязвимости и угрозы мобильных банков». Аналитики проверили 14 банковских приложений, ни одно из которых, как оказалось, не обладает приемлемым уровнем защищенности. 

Читайте Bloomchain через любимые соцсети: TelegramVKFB

Positive Technologies исследовала 14 приложений для операционных систем Android и iOS, принадлежащих семи банкам из топ-50 крупнейших по величине активов. Каждое из рассматриваемых приложений было скачано из официальных магазинов (Google Play и AppStore) не менее 500 тыс. раз.

Специалисты изучили клиентские и серверные части этих приложений и пришли к выводу, что ни одно из них не обладает достаточной защитой. Клиентские части 13 из 14 приложений оставляют злоумышленникам возможность получить доступ к личным данным пользователей. При этом 76% уязвимостей можно эксплуатировать без физического доступа к устройству, а более трети не требуют административных прав управления.

Читайте также: как Сбербанк и Ростелеком предлагают бороться с социальной инженерией

Интересно, что большая часть уязвимостей (54%) содержится в серверной части приложения, то есть на стороне банка. Эта часть каждого из рассматриваемых приложений содержит в среднем 23 уязвимости, при этом в каждом втором мобильном банке эти уязвимости позволяют злоумышленникам проводить мошеннические операции. Уязвимости серверной части позволяют хакерам украсть данные банковских карт в каждом третьем приложении, а в семи из пяти приложений под угрозой логины и пароли от личных кабинетов пользователей.

Приложения, разработанные для операционной системы iOS, а именно их клиентская часть, содержат меньше уязвимостей, чем их аналоги для Android. Более того, все недостатки, обнаруженные в приложениях для iOS, были не выше среднего уровня риска, тогда как в 29% приложений для Android содержат уязвимости высокого уровня риска.

банкиИсточник: отчет Positive Technologies

В Positive Technologies считают, что пониженная безопасность Android-приложений — это плата за свободу, которую разработчики получают в реализации различной функциональности. 

Все рассматриваемые мобильные приложения имеют ряд схожих уязвимостей в своей клиентской части — эти уязвимости связаны непосредственно с кодом приложений. Банки не защищаются от угрозы анализа исходного кода путем его обфускации (запутывания). Они также не защищают приложения от инжектов и «перепаковки» данных, а в самом коде содержатся имена классов и методов.

банкиИсточник: отчет Positive Technologies

На стороне банков их приложения защищены еще меньше, чем на стороне клиента. Более половины приложений содержат уязвимости высокого уровня риска в своей серверной части. При этом большая часть уязвимостей (36%) позволяет проводить атаки на клиентов кредитной организации.

банкиИсточник: отчет Positive Technologies

Несмотря на то, что банки пытаются внедрять новые методы аутентификации клиентов, например, биометрическую идентификацию, уязвимости этой процедуры являются самыми распространенными — они встречаются в 6 из 14 приложений. 

банкиИсточник: отчет Positive Technologies

По данным Positive Technologies, в четвертом квартале 2019 года 67% атак были реализованы с использованием методов социальной инженерии. В новом исследовании специалисты вновь подчеркивают, что в 87% случаев злоумышленнику не удастся использовать уязвимость без определенных действий со стороны пользователя.

← Назад Поделиться:

Рекомендации

Google удалит из Play Store индийские приложения, предлагающие краткосрочные кредиты

Aртем Галунoв2 мин
Пользователи кошельков Ledger столкнулись с угрозами из-за утечки данных компании

Представители организации никак не отреагировали на массовые жалобы со стороны клиентов.

Евгения Лиходей2 мин

Банки пожертвовали операциями пожилых клиентов ради борьбы с мошенниками

Компании пытаются найти способы совершенствования своих систем безопасности.

Евгения Лиходей2 мин

Финтех-компания Ant Group готовит план реорганизации своего бизнеса

Китайские надзорные органы укажут Ant, какие сегменты ее финтех-платформы должны регулироваться как финансовые институты, а также каким подразделениям необходимо получить лицензии на осуществление операционной деятельности.

Aртем Галунoв3 мин

Криптовалютный банк Майка Новограца вышел на рынок майнинга

В Galaxy Digital считают, что собственные операции по добыче криптовалюты помогут криптобанку лучше понять потребности отрасли.

Aртем Галунoв2 мин

Goldman Sachs планирует приобретения в сфере цифрового банкинга

Руководство банка не рассматривает приобретения филиалов. При этом топ-менеджеры задались целью, чтобы любая сделка была «крупной и трансформационной».

Aртем Галунoв4 мин