Подавляющее большинство мобильных приложений крупнейших мировых банков имеют серьезные уязвимости, выяснил эксперт. Банкам требуется значительно ужесточить свои стандарты безопасности при разработке приложений, чтобы не столкнуться с массовыми случаями воровства данных и мошенничества.
Согласно данным нового исследования, около 90% всех мобильных банковских приложений от наиболее крупных банков имеют серьезные уязвимости, эксплуатация которых может позволить злоумышленникам украсть пользовательские данные. Об этом говорится в отчете специалиста по безопасности Ариел Санчеса (Ariel Sanchez) из компании IOActive, который изучил банковские приложения для iPhone и iPad от сорока крупнейших мировых банков.
«Целый ряд приложений (менее 20%) не имеет поддержки Position Independent Executable (PIE) и Stack Smashing Protection – данные технологии помогают защищать от memory-corruption атак. 40% проверенных мной приложений не проводят проверку подлинности представленных SSL сертификатов. Это делает их уязвимыми к атакам «человек посередине» (Man in The Middle, MiTM)», – говорится в исследовании эксперта.
Помимо этого, Ариела Санчес отмечает, что 50% приложений от крупнейших мировых банков уязвимы для инъекций кода JavaScript через незащищенные выполнения UIWebView. В некоторых случаях данная уязвимость позволяет злоумышленникам применять встроенную функциональность iOS, отправляя SMS и электронные письма с устройства пользователя. Также 90% всех приложений содержали как минимум несколько не-SSL ссылок. Это позволяет потенциальному злоумышленнику перехватывать трафик и вставлять произвольный JavaScript/HTML-код для создания фальшивой формы логина или аналогичного мошенничества.
По словам специалистов, данное исследование проливает свет на крайне серьезную проблему банковской индустрии, которая в будущем будет становиться все более важной благодаря увеличению популярности банковских приложений среди потребителей. В своем отчете Санчес подчеркивает, что различные обнаруженные им в банковских приложениях уязвимости позволяют хакерам получать доступ к личной информации, устанавливать вредоносное ПО и даже контролировать устройство пользователя. «Собственные приложения банков, адаптированные для мобильных устройств: смартфонов и планшетов, привели к появлению серьезных проблем с безопасностью для мировых финансовых учреждений. Как показывает это исследование, банкам следует повысить свои стандарты безопасности в сфере мобильных банковских решений для обычных пользователей», – пишет эксперт IOActive.
Усиление безопасности приложений зачастую конфликтует с удобством для клиента, прокомментировал Антон Максимов, руководитель направления «Управление электронного банкинга» ОТП Банка. Поэтому специфика российского рынка такова, что банки всегда стоят перед вопросом: как усилить безопасность мобильных приложений, не снижая при этом удобство использования мобильного банка? «Наиболее часто используемыми способами минимизации опасности является ограничение функционала, например, запрет на расходование средств. Мобильные приложения в этом случае выполняют скорее информационную поддержку – узнать остаток по кредиту, доступный баланс по карте, помогают найти ближайшее отделение. Данное решение помогает предоставить минимально необходимый набор функционала, исключая кражу личных средств. Однако данный способ ограничений идет вразрез с повышением лояльности клиента. Подобное ограничение должно быть опцией, но никак не основой. «Другие банки выбрали более клиентоориентированный способ, практически сохраняя при этом защиту средств пользователя, – это возможность совершения денежных переводов только по уже созданным в интернет-банке так называемым «шаблонам». Редактирование подобных шаблонов, разумеется, запрещено. Поэтому и такой способ сокращает мобильность клиента», – пояснил Антон Максимов.
Многие крупные банки, тем не менее, делают ставку как на удобство, так и на безопасность. Таким инструментом, например, может быть авторизация по короткому коду. Клиенту необходимо при первом входе в мобильный банк создать короткий код, как альтернативу паре логин+пароль. Это, с одной стороны, удобно для клиента – ведь ему необходимо лишь запомнить 4 цифры, с другой – злоумышленнику сложнее украсть у клиента идентификационные данные, ведь созданный персональный код клиента работает только на мобильном устройстве владельца.
Некоторые участники банковского рынка пошли еще дальше, предоставив своим клиентам альтернативу стандартному подтверждению расходных операций по SMS. Речь идет о PUSH-сообщениях, которые, в отличие от SMS, осуществляются без участия операторов сотовой связи. Перехватить подобные сообщения практически невозможно. Зачастую методы защиты интернет-банка переносят и в мобильные банки. Это могут быть и классические логин и пароль, и SMS-подтверждения на вход или на вывод средств, и снижение лимитов на расходные операции или вовсе запрет последних. «В современном мире электронных платежей существует уже достаточно широкий спектр подтверждений своих расходных операций. Это и генератор ключей через мобильное приложение, и токены, скретч-карты. И более инновационные способы, которые пока несильно распространены, – подтверждение операции по QR-коду, а так же PUSH-сообщения, которые используются без участия мобильного оператора», – отметил эксперт.
Александр Серяков, заместитель директора департамента карточных и дистанционных технологий «Росбанка», считает, что специфика банковских приложений на российском рынке вытекает из особенностей отечественного рынка услуг. Чисто банковские сервисы – внутри- и межбанковские переводы, управление вкладами, погашение кредитов – как правило, представлены в полном объеме. Дополнительным и наиболее востребованным сервисом является оплата услуг – пополнение счета мобильного телефона, оплата ЖКУ, интернета, телефонии, пополнение электронных кошельков и т.д. «В отличие от западного рынка, сервисы direct debit и оплата выставленных счетов еще только начинают развиваться. Проблемами с безопасностью грозят пользователю не сами банковские приложения, а небрежность, допущенная при их разработке. Соответственно, серьезность угроз прямо зависит от уровня допущенной небрежности. Безопасность приложения и канала общения с банком должны быть ключевыми при разработке приложения. Например, все приложения «Росбанка» перед выходом в эксплуатацию в обязательном порядке проходят аудит безопасности, выполняемый сторонней компанией», – сказал он.
Источник
90% мобильных банковских приложений уязвимы перед хакерами