Positive Technologies: каждый второй мобильный банк подвержен краже денег

Мобильные банковские приложения недостаточно защищены от действий мошенников и хакеров — к такому выводу пришли специалисты компании Positive Technologies в исследовании «Уязвимости и угрозы мобильных банков». Аналитики проверили 14 банковских приложений, ни одно из которых, как оказалось, не обладает приемлемым уровнем защищенности. 

Читайте Bloomchain через любимые соцсети: TelegramVKFB

Positive Technologies исследовала 14 приложений для операционных систем Android и iOS, принадлежащих семи банкам из топ-50 крупнейших по величине активов. Каждое из рассматриваемых приложений было скачано из официальных магазинов (Google Play и AppStore) не менее 500 тыс. раз.

Специалисты изучили клиентские и серверные части этих приложений и пришли к выводу, что ни одно из них не обладает достаточной защитой. Клиентские части 13 из 14 приложений оставляют злоумышленникам возможность получить доступ к личным данным пользователей. При этом 76% уязвимостей можно эксплуатировать без физического доступа к устройству, а более трети не требуют административных прав управления.

Читайте также: как Сбербанк и Ростелеком предлагают бороться с социальной инженерией

Интересно, что большая часть уязвимостей (54%) содержится в серверной части приложения, то есть на стороне банка. Эта часть каждого из рассматриваемых приложений содержит в среднем 23 уязвимости, при этом в каждом втором мобильном банке эти уязвимости позволяют злоумышленникам проводить мошеннические операции. Уязвимости серверной части позволяют хакерам украсть данные банковских карт в каждом третьем приложении, а в семи из пяти приложений под угрозой логины и пароли от личных кабинетов пользователей.

Приложения, разработанные для операционной системы iOS, а именно их клиентская часть, содержат меньше уязвимостей, чем их аналоги для Android. Более того, все недостатки, обнаруженные в приложениях для iOS, были не выше среднего уровня риска, тогда как в 29% приложений для Android содержат уязвимости высокого уровня риска.

банкиИсточник: отчет Positive Technologies

В Positive Technologies считают, что пониженная безопасность Android-приложений — это плата за свободу, которую разработчики получают в реализации различной функциональности. 

Все рассматриваемые мобильные приложения имеют ряд схожих уязвимостей в своей клиентской части — эти уязвимости связаны непосредственно с кодом приложений. Банки не защищаются от угрозы анализа исходного кода путем его обфускации (запутывания). Они также не защищают приложения от инжектов и «перепаковки» данных, а в самом коде содержатся имена классов и методов.

банкиИсточник: отчет Positive Technologies

На стороне банков их приложения защищены еще меньше, чем на стороне клиента. Более половины приложений содержат уязвимости высокого уровня риска в своей серверной части. При этом большая часть уязвимостей (36%) позволяет проводить атаки на клиентов кредитной организации.

банкиИсточник: отчет Positive Technologies

Несмотря на то, что банки пытаются внедрять новые методы аутентификации клиентов, например, биометрическую идентификацию, уязвимости этой процедуры являются самыми распространенными — они встречаются в 6 из 14 приложений. 

банкиИсточник: отчет Positive Technologies

По данным Positive Technologies, в четвертом квартале 2019 года 67% атак были реализованы с использованием методов социальной инженерии. В новом исследовании специалисты вновь подчеркивают, что в 87% случаев злоумышленнику не удастся использовать уязвимость без определенных действий со стороны пользователя.

← Назад Поделиться: