Компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, объявляет результаты нового исследования «Безопасность мобильного банкинга: возможность реализации атаки MiTM (Man-in-The Middle, Человек посередине)», автором которого является Дмитрий Евдокимов, директор исследовательского центра Digital Security. Эксперт компании занимается данной темой последние несколько лет, регулярно выступая с докладами на международных конференциях по ИБ, включая BlackHat, HackInParis, ZeroNights.
В прошлом году мы постарались систематизировать сферу мобильного банкинга и подход к анализу ее безопасности, а также провели статический анализ безопасности около 40 приложений для iOS и Android: (http://dsec.ru/upload/medialibrary/064/06474b9ed52e0182ca155ccbf9a656d2.pdf). В рамках данного исследования было рассмотрено уже не по 40 приложений для двух ОС, а примерно по 60, включая банк-клиенты Альфа-Банка, банка «Авангард», банка «Балтика», ВТБ, Газпромбанка, Промсвязьбанка, РайффайзенБанка, СИАБ, Ситибанка, Уралсиб, Ханты-Мансийского банка и других.
Комментирует Дмитрий Евдокимов: «На этот раз мы решили сосредоточиться на поиске одной из самых опасных уязвимостей в сфере мобильного банкинга, связанной с недостаточной защитой транспортного уровня или ее отсутствием. Данная проблема может привести к реализации атаки MiTM и краже денег со счетов клиентов».
В рамках исследования рассматривались ОС Android и iOS, как наиболее распространенные и имеющие наибольшее количество приложений для мобильного банкинга. Эксперт Digital Security выяснил, что из всех рассмотренных мобильных банк-клиентов с iOS 14 % подвержены краже денег только с помощью MitM-атаки, а с Android 23 %. Сочетание других уязвимостей может также привести к краже денег со счетов клиентов. При этом стоит отметить, что только один банк из 60 изученных имеет одновременно уязвимое приложение для iOS и Android.
В ходе исследования эксперт Digital Security сделал также ряд интересных находок, напрямую не связанных с основной темой. Например, в ответах сервера иногда приходят отладочные трейсы, раскрытие внутренней банковской информации (даже информация об АБС, автоматизированной банковской системе). Или можно провести атаки “User Enumeration” – получения списка действующих логинов пользователей.
Опираясь на приведенные выводы исследования, а также на другие подробные факты и находки, описанные здесь (http://dsec.ru/ipm-research-center/research/a_security_analysis_of_mobile_banking_applications_for_2013/), можно со всей уверенностью заявить, что существенное число российских банков до сих пор не уделяет должного внимания безопасности мобильного банкинга. Между тем, с развитием мобильных банковских технологий со временем все больше транзакций будет совершаться онлайн. И если уязвимости будут существовать и множится, их эксплуатация будет приводить к массовым хищениям финансовых средств со счетов клиентов.
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Digital Security предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, аудит защищенности бизнес-приложений (SAP, Oracle, веб-приложения, системы ДБО), аудит защищенности АСУ ТП и SCADA. С 2002 года клиентами Digital Security стали более 500 компаний на всей территории России, стран СНГ и Балтии, а также в Восточной Европе, Германии и ЮАР. Digital Security является официальным сервис-партнером SAP AG, международным лидером по поиску и анализу уязвимостей в продуктах SAP, а также разработчиком ERPScan Security Monitoring Suite – инновационного продукта по комплексной оценке защищенности и проверке соответствия стандартам для платформы SAP.
