Positive Technologies: каждый второй мобильный банк подвержен краже денег

Мобильные банковские приложения недостаточно защищены от действий мошенников и хакеров — к такому выводу пришли специалисты компании Positive Technologies в исследовании «Уязвимости и угрозы мобильных банков». Аналитики проверили 14 банковских приложений, ни одно из которых, как оказалось, не обладает приемлемым уровнем защищенности. 

Читайте Bloomchain через любимые соцсети: TelegramVKFB

Positive Technologies исследовала 14 приложений для операционных систем Android и iOS, принадлежащих семи банкам из топ-50 крупнейших по величине активов. Каждое из рассматриваемых приложений было скачано из официальных магазинов (Google Play и AppStore) не менее 500 тыс. раз.

Специалисты изучили клиентские и серверные части этих приложений и пришли к выводу, что ни одно из них не обладает достаточной защитой. Клиентские части 13 из 14 приложений оставляют злоумышленникам возможность получить доступ к личным данным пользователей. При этом 76% уязвимостей можно эксплуатировать без физического доступа к устройству, а более трети не требуют административных прав управления.

Читайте также: как Сбербанк и Ростелеком предлагают бороться с социальной инженерией

Интересно, что большая часть уязвимостей (54%) содержится в серверной части приложения, то есть на стороне банка. Эта часть каждого из рассматриваемых приложений содержит в среднем 23 уязвимости, при этом в каждом втором мобильном банке эти уязвимости позволяют злоумышленникам проводить мошеннические операции. Уязвимости серверной части позволяют хакерам украсть данные банковских карт в каждом третьем приложении, а в семи из пяти приложений под угрозой логины и пароли от личных кабинетов пользователей.

Приложения, разработанные для операционной системы iOS, а именно их клиентская часть, содержат меньше уязвимостей, чем их аналоги для Android. Более того, все недостатки, обнаруженные в приложениях для iOS, были не выше среднего уровня риска, тогда как в 29% приложений для Android содержат уязвимости высокого уровня риска.

банкиИсточник: отчет Positive Technologies

В Positive Technologies считают, что пониженная безопасность Android-приложений — это плата за свободу, которую разработчики получают в реализации различной функциональности. 

Все рассматриваемые мобильные приложения имеют ряд схожих уязвимостей в своей клиентской части — эти уязвимости связаны непосредственно с кодом приложений. Банки не защищаются от угрозы анализа исходного кода путем его обфускации (запутывания). Они также не защищают приложения от инжектов и «перепаковки» данных, а в самом коде содержатся имена классов и методов.

банкиИсточник: отчет Positive Technologies

На стороне банков их приложения защищены еще меньше, чем на стороне клиента. Более половины приложений содержат уязвимости высокого уровня риска в своей серверной части. При этом большая часть уязвимостей (36%) позволяет проводить атаки на клиентов кредитной организации.

банкиИсточник: отчет Positive Technologies

Несмотря на то, что банки пытаются внедрять новые методы аутентификации клиентов, например, биометрическую идентификацию, уязвимости этой процедуры являются самыми распространенными — они встречаются в 6 из 14 приложений. 

банкиИсточник: отчет Positive Technologies

По данным Positive Technologies, в четвертом квартале 2019 года 67% атак были реализованы с использованием методов социальной инженерии. В новом исследовании специалисты вновь подчеркивают, что в 87% случаев злоумышленнику не удастся использовать уязвимость без определенных действий со стороны пользователя.

← Назад Поделиться:

Рекомендации

Из-за ошибки основателя Yearn.finance инвесторы нового DeFi-протокола потеряли $15 млн

2 дня назадЕвгения Лиходей2 мин
Взломавший криптобиржу KuCoin хакер начал перемещать похищенные активы

Для обмена украденных токенов злоумышленник использует децентрализованные платформы, в том числе и Uniswap. Вместе с тем, некоторые участники сообщества считают, что ущерб от действий преступника может быть значительно выше, чем было объявлено ранее.

2 дня назадAртем Галунoв3 мин

Deutsche Bank: национальные криптовалюты угрожают доллару США

Выпуск CBDC странами может разрушить монополию американской валюты на финансовом рынке.

1 час назадЕвгения Лиходей2 мин

Австралия выделила почти $7 млн на развитие блокчейн-проектов

Средства будут направлены на развитие двух инициатив, направленных на снижение бизнес-издержек.

33 минуты назадЕвгения Лиходей2 мин

Криптобанк Galaxy Digital вошел в капитал ParaFi Capital для инвестиций в сектор DeFi

Глава банка Майк Новограц считает, что полноценные DeFi-приложения приведут к упадку посреднического бизнеса в финансовой сфере. По этой причине Galaxy вошел в капитал инвестиционной компании ParaFi, в чей портфель входят в том числе и DeFi-проекты.

16 часов назадAртем Галунoв3 мин

Институциональные инвесторы переключили внимание на поставочные bitcoin-фьючерсы

Более того, среди таких участников рынка все большую популярность набирают инвестиционные стратегии, основанные на удержании активов. На это указывает соотношение уровня открытого интереса к торговым объемам регулируемых платформ.

17 часов назадAртем Галунoв3 мин