Positive Technologies: в каждом втором мобильном банке возможна кража денежных средств

Positive Technologies: в каждом втором мобильном банке возможна кража денежных средств

Более половины всех выявленных уязвимостей в мобильных приложениях банков содержатся в серверных частях приложений, а в каждом втором мобильном банке возможны мошеннические операции и кража денежных средств, говорится в недавнем исследовании Positive Technologies. 

Анализ проводился в 2019 году, было выбрано 14 полнофункциональных банковский приложения для обеих ОС — Android и iOS. Также одним из критериев выбора стало то, что приложение установлено более 500 000 раз из официальных магазинов приложений Google Play и App Store. Согласно документу, в итоге ни одно из 14 исследованных мобильных банковских приложений не обладает приемлемым уровнем защищённости. 

 

Клиентская часть 

В 13 из 14 клиентских частей возможен доступ к данным пользователей. 76% уязвимостей в мобильных банках могут быть проэксплуатированы без физического доступа к устройству. Более трети уязвимостей не требуют административных прав для эксплуатации (jailbreak или root). 

«Клиентские части мобильных банковских приложений, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android. Все недостатки в мобильных банках для iOS были не выше среднего уровня риска. В то время как 29% приложений для Android содержали уязвимости высокого уровня риска», — отметили эксперты Positive Technologies. 

Наиболее опасные уязвимости выявлены в Android-приложениях и связаны с небезопасной обработкой ссылок deeplink. Разработчикам Android-приложений предоставляется больше возможностей для реализации различной функциональности. Именно в этом эксперты видят главную причину большего количества уязвимостей в приложениях под Android в сравнении с iOS-приложениями.

Также исследование показало, что банки не защищаются от угрозы анализа исходного кода, которая возникает в случае недостаточной его защиты. Для эксплуатации уязвимостей в коде злоумышленникам нужно получить к нему доступ, а для этого достаточно скачать приложение из Google Play или App Store и затем его декомпилировать.

 

Серверная часть 

В то же время 54% всех уязвимостей содержатся в серверной части приложений, а серверная часть каждого мобильного банка содержит в среднем 23 уязвимости. В каждом втором мобильном банке возможны проведение мошеннических операций и кража денежных средств. В пяти из семи приложений под угрозой логины и пароли от личных кабинетов пользователей, а в каждом третьем приложении могут быть украдены данные банковских карт.

«Большинство уязвимостей, позволяющих проводить подбор пароля, связаны с недостатками реализации механизма предоставления одноразовых паролей (one-time password, OTP). Наиболее распространенная проблема — когда при превышении количества попыток ввода одноразовый пароль продолжает оставаться действительным. Получив доступ к личному кабинету пользователя и используя недостатки реализации механизма предоставления OTP, злоумышленник может совершать различные операции (в том числе финансовые) от имени этого пользователя», — отметили эксперты  Positive Technologies. 

Три из семи серверных частей мобильных банков содержат ошибки бизнес-логики. Как правило, они связаны с функциональностью, которой могут воспользоваться злоумышленники для совершения мошеннических операций. Ошибки в бизнес-логике могут принести банку существенные финансовые убытки и даже повлечь судебные разбирательства.

В каждом втором мобильном банке возможно проведение мошеннических операций. Наиболее уязвимыми в мобильных банковских приложениях оказались аутентификационные данные.

«Несанкционированный доступ к приложению, как правило, вызван недостатками аутентификации или авторизации», — отметила аналитик Positive Technologies Ольга Зиненко. — «Наше исследование показало, что учётные записи пользователей мобильных банков доступны злоумышленникам в пяти из семи серверных частей. Среди информации, доступной нарушителю: имена и фамилии пользователей, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платёжной картой и номером мобильного телефона».

22 апреля, 2020