97% финансовых мобильных приложений не обеспечены защитой от атак

Подавляющее большинство мобильных приложений крупных финансовых компаний подвержены проблемам безопасности, воспользовавшись которыми злоумышленники могут получить доступ к конфиденциальным данным, включая банковские учетные данные, показало исследование, проведенное специалистами компании Aite Group по заказу Arxan Technologies.

Исследователи проанализировали 30 размещенных в каталоге Google Play Store приложений, связанных с различными сферами (банковской, мобильными платежами, страхованием и пр.) и выяснили, что практически все из них содержат в своем коде или подпапках важную информацию, в том числе закрытые ключи, ключи API и сертификаты, с помощью которых преступники могут получить доступ к серверам вендора и скомпрометировать данные пользователей.

Согласно отчету, 97% проанализированных приложений не обладают защитой от реверс-инжиниринга, позволяя легко получить доступ к исходному коду с помощью доступных в интернете инструментов. По словам старшего аналитика Aite Group Алиссы Найт (Alissa Knight), в среднем взлом приложения занимал всего 8,5 минут.

Кроме того, 90% программ допускали утечку информации, совместно используя сервисы с другими приложениями на устройстве, и тем самым позволяли другим приложениям получать доступ к финансовым данным.

Как выяснилось, 83% приложений хранят данные в неподконтрольных местах, например, в локальной файловой системе устройства, на внешних накопителях или копируют информацию в буфер обмена, предоставляя к ней доступ другим программам. Еще одной распространенной проблемой оказалось слабое шифрование – 80% приложений использовали либо ненадежные криптоалгоритмы, либо в них был некорректно реализован стойкий метод шифрования. При этом 70% приложений использовали ненадежный генератор случайных чисел, что позволяло с легкостью взломать или угадать значения.

Большое число уязвимостей представляет прямую угрозу безопасности финансовых организаций и их клиентов, которые могут стать жертвами взлома аккаунтов, мошенничества или кражи личности, подчеркнули исследователи.

 

3 апреля, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.07.2026
В США объявили войну пиратским сайтам, транслирующим футбол
02.07.2026
Инцидент с сервисом 1-800-Dentist грозит масштабной утечкой
02.07.2026
Компания JoyMoney выбрала MaxPatrol SIEM ядром своего SOC
02.07.2026
«К2Тех»: Нового оборудования нет — рынок заполнен б/у-железом
02.07.2026
Open Standard готовит к выпуску долларовый стейблкоин
02.07.2026
Российские регуляторы грозят Apple судом
01.07.2026
«Законодательная инициатива» от Anonymous: BorderAge вместо указания возраста
01.07.2026
Зачем ещё нужна база IMEI в России
01.07.2026
«Эта работа не доказывает, что ИИ повсеместно создаёт рабочие места»
01.07.2026
Анонсирована флагманская LLM Sol с ограниченным доступом

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных