Positive Technologies: каждый второй мобильный банк подвержен краже денег

Мобильные банковские приложения недостаточно защищены от действий мошенников и хакеров — к такому выводу пришли специалисты компании Positive Technologies в исследовании «Уязвимости и угрозы мобильных банков». Аналитики проверили 14 банковских приложений, ни одно из которых, как оказалось, не обладает приемлемым уровнем защищенности. 

Читайте Bloomchain через любимые соцсети: TelegramVKFB

Positive Technologies исследовала 14 приложений для операционных систем Android и iOS, принадлежащих семи банкам из топ-50 крупнейших по величине активов. Каждое из рассматриваемых приложений было скачано из официальных магазинов (Google Play и AppStore) не менее 500 тыс. раз.

Специалисты изучили клиентские и серверные части этих приложений и пришли к выводу, что ни одно из них не обладает достаточной защитой. Клиентские части 13 из 14 приложений оставляют злоумышленникам возможность получить доступ к личным данным пользователей. При этом 76% уязвимостей можно эксплуатировать без физического доступа к устройству, а более трети не требуют административных прав управления.

Читайте также: как Сбербанк и Ростелеком предлагают бороться с социальной инженерией

Интересно, что большая часть уязвимостей (54%) содержится в серверной части приложения, то есть на стороне банка. Эта часть каждого из рассматриваемых приложений содержит в среднем 23 уязвимости, при этом в каждом втором мобильном банке эти уязвимости позволяют злоумышленникам проводить мошеннические операции. Уязвимости серверной части позволяют хакерам украсть данные банковских карт в каждом третьем приложении, а в семи из пяти приложений под угрозой логины и пароли от личных кабинетов пользователей.

Приложения, разработанные для операционной системы iOS, а именно их клиентская часть, содержат меньше уязвимостей, чем их аналоги для Android. Более того, все недостатки, обнаруженные в приложениях для iOS, были не выше среднего уровня риска, тогда как в 29% приложений для Android содержат уязвимости высокого уровня риска.

банкиИсточник: отчет Positive Technologies

В Positive Technologies считают, что пониженная безопасность Android-приложений — это плата за свободу, которую разработчики получают в реализации различной функциональности. 

Все рассматриваемые мобильные приложения имеют ряд схожих уязвимостей в своей клиентской части — эти уязвимости связаны непосредственно с кодом приложений. Банки не защищаются от угрозы анализа исходного кода путем его обфускации (запутывания). Они также не защищают приложения от инжектов и «перепаковки» данных, а в самом коде содержатся имена классов и методов.

банкиИсточник: отчет Positive Technologies

На стороне банков их приложения защищены еще меньше, чем на стороне клиента. Более половины приложений содержат уязвимости высокого уровня риска в своей серверной части. При этом большая часть уязвимостей (36%) позволяет проводить атаки на клиентов кредитной организации.

банкиИсточник: отчет Positive Technologies

Несмотря на то, что банки пытаются внедрять новые методы аутентификации клиентов, например, биометрическую идентификацию, уязвимости этой процедуры являются самыми распространенными — они встречаются в 6 из 14 приложений. 

банкиИсточник: отчет Positive Technologies

По данным Positive Technologies, в четвертом квартале 2019 года 67% атак были реализованы с использованием методов социальной инженерии. В новом исследовании специалисты вновь подчеркивают, что в 87% случаев злоумышленнику не удастся использовать уязвимость без определенных действий со стороны пользователя.

← Назад Поделиться:

Рекомендации

Как цифровая валюта Банка России изменит будущее страны – мнения экспертов

2 часа назадЕвгения Лиходей5 мин
Криптобанк из листинга Лондонской биржи переведет в bitcoin часть фиатных резервов

В криптобанке Mode считают, что диверсификация резерва позволит уйти от низкодоходных денежных инструментов, увеличив тем самым прибыль инвесторов, которые приняли участие в его IPO.

3 часа назадAртем Галунoв3 мин

ЦБ Китая: CBDC станет главным драйвером цифровой трансформации экономики страны

По словам главы PBoC, цифровой юань позволит повысить удобство и безопасность розничных платежей. В поддержку CBDC также выступили руководители крупных китайских технологических компаний.

1 час назадAртем Галунoв3 мин

Мнение: 2021 год может сделать инвесторов bitcoin богатыми

Участники криптосообщества поделились своим видением перспектив дальнейшего движения курса цифрового актива.

5 часов назадЕвгения Лиходей2 мин

На фоне урегулирования конфликта с SEC токен Kin подорожал более чем в два раза

Kik Interactive удалось обойтись малой кровью — в схожем деле против компании Павла Дурова SEC добилась закрытия проекта.

5 часов назадAртем Галунoв3 мин

Багамские острова запустили цифровую валюту с международным потенциалом

Финансовый инструмент, в том числе, поможет стране бороться с последствиями стихийных бедствий.

7 часов назадЕвгения Лиходей2 мин