Санчес тестировал 40 банковских приложений на iPhone и iPad в течение 40 часов. Он не раскрыл названия уязвимых приложений и банков, но уже связался с представителями некоторых финансовых учреждений и проинформировал их об уязвимостях. Эксперт не описал уязвимости во всех подробностях, но считает, что если смог найти их так легко, то так же легко их смогут найти и преступники.
Санчес протестировал безопасность при передаче данных, защиту на уровне компилятора, UIWebViews, механизм хранения данных, записи журнала событий и провел бинарный анализ. В рамках проверки он нашел многочисленные недостатки. Например, 40% приложений не проверяют подлинность SSL-сертификатов, тем самым подвергая их MiTM-атакам.
90% приложений настолько не защищены, что позволяют злоумышленнику перехватывать трафик и внедрить произвольный JavaScript/HTML код в попытке создать поддельные учетные данные.
50% приложений уязвимы к JavaScript инъекциям через UIWebView, позволяя отправлять SMS или электронные сообщения с компьютера жертвы.
70% приложений не защищены ни одним из решений многофакторной аутентификации, что могло бы помочь снизить риск кибератак.
В рамках своего исследования эксперт сгенерировал неизменяемые учетные данные, что могло бы позволить злоумышленнику заразить приложение вредоносным ПО и причинить ущерб многим пользователям.
