Уязвимости в ряде приложений мобильного банкинга делают их уязвимыми для взлома и кражи данных учетной записи клиента, по данным охранной компании Positive Technologies .
Исследователи Positive Technologies исследовали 14 приложений для мобильного банкинга, работающих на Android или iOS, и обнаружили, что 13 не смогли предотвратить несанкционированный доступ к пользовательским данным. Согласно отчету об исследовании, каждое из приложений, изученных в исследовании, было загружено из магазинов приложений более 500 000 раз, в котором не указываются приложения.
Анализ показывает, что ни одно из 14 исследованных приложений не имело приемлемого уровня безопасности и что некоторые из приложений содержали недостатки безопасности и могли использоваться без физического доступа к смартфону или другому мобильному устройству, согласно отчету. Исследователи утверждают, что эти типы уязвимостей могут привести к атакам методом "грубой силы", схемам "человек посередине" и распространению вредоносных программ, таких как банковские трояны.
Такие атаки могут обеспечить доступ к конфиденциальной информации, такой как личные банковские данные и данные платежной карты. Злоумышленники могут также получить несанкционированный доступ к приложению и совершить мошенничество и украсть средства, говорится в сообщении.
«Наше исследование показывает, что приложения для Android более уязвимы, чем приложения для iOS», - говорит Николай Анисеня, руководитель отдела безопасности мобильных приложений для Positive Technologies, в информационном агентстве Media Security Group. «Уязвимости, которые хакеры используют для мошенничества и кражи, обычно являются результатом ошибок кодирования».
Целевые банковские приложения
Угрозы онлайн-банкингу возросли в последнее время из-за начала пандемии COVID-19 , которая ускорила переход на мобильный банкинг.
Ранее в этом месяце ФБР выпустило предупреждение о том, что киберпреступники и мошенники все чаще нацеливаются на приложения для мобильного банкинга с вредоносным ПО для кражи учетных данных и проведения атак на захват учетных записей.
Еще один отчет охранной компании Lookout показал, что мобильные фишинговые атаки на банковские приложения усилились с тех пор, как COVID-19 был объявлен пандемией.
Уязвимости на стороне клиента
Исследователи обнаружили, что 3% приложений, работающих на устройствах Android, содержат уязвимости, которые представляют «высокий» риск атаки на стороне клиента, 40% представляют «средние» угрозы и 57% содержат «низкие» риски, согласно исследованию. Для приложений, работающих на устройствах iOS, в исследовании отмечается, что 37% представляют средний риск, а 63% имеют низкий риск потенциальных атак на стороне клиента. Ни одно банковское приложение на базе iOS не содержало уязвимостей, считающихся высокорисковыми.
Исследование показало, что банковские приложения на устройствах Android содержат от трех до восьми недостатков, а приложения для iOS - от четырех до семи уязвимостей. Согласно исследованию, большинство этих уязвимостей произошло из-за исходного кода приложения или небезопасной передачи данных и их хранения.
Однако исследователи отмечают, что для приложений, работающих на устройствах Android, наиболее опасные уязвимости связаны с технологией глубоких ссылок - функцией, позволяющей пользователям перемещаться между приложениями.
«Глубокие ссылки используются по-разному на iOS и Android: разработчики на Android имеют большую свободу реализации. Это объясняет большее количество уязвимостей в приложениях Android по сравнению с iOS», - говорится в отчете.
Уязвимости на стороне сервера
В исследовании отмечается, что более половины банковских приложений содержали высокоуровневые уязвимости на стороне сервера, связанные с недостаточной аутентификацией, несанкционированным доступом к приложениям и ошибками бизнес-логики. В большинстве этих приложений распространенной проблемой были уязвимости, связанные с перебором, вызвавшие механизм одноразового пароля, говорится в исследовании.
«Более половины мобильных банков содержат высокоуровневые уязвимости на стороне сервера - например, недостаточная аутентификация / авторизация, грубая обработка пароля, ошибки бизнес-логики», - говорит Анисеня. «Несанкционированный доступ к приложениям обычно возникает из-за недостатков аутентификации и авторизации».
Предупредительные меры
Поскольку файловые системы на стороне клиента в большинстве банковских приложений содержали незашифрованные данные, исследователи Positive Technology отмечают, что злоумышленники могут выполнить рутинг или взлом хранилища для доступа к пользовательским данным. Единственный способ избежать любой потенциальной атаки с использованием этого метода - хранить небольшое количество данных на пользовательском устройстве, запрашивая данные только при необходимости и удаляя данные после завершения, согласно отчету.
Что касается уязвимостей, возникающих из-за небезопасного исходного кода банковского приложения, исследователи Positive Technologies предлагают разработчикам применять безопасный жизненный цикл разработки программного обеспечения, который помогает обеспечить безопасное создание программного обеспечения на каждом этапе его разработки и интеграцию функций безопасности в приложение.