Банковские приложения в опасности

Данные основаны на результатах анализа 14 мобильных приложений семи банков России и стран СНГ (для Google Play и App Store) экспертами Positive Technologies в 2019 г. Согласно результатам исследования, ни одно приложение не обладало приемлемым уровнем защищенности.

"Говорить о том, что за год картина в корне поменяется - я бы не стала, - сказала аналитик Positive Technologies Ольга Зиненко. Будем надеяться, что уровень риска уязвимостей, содержащихся в приложениях, продолжит снижаться и часть мобильных банков по результатам этого года окажутся достаточно защищены".

Среди информации, доступной нарушителю, - имена и фамилии пользователей, баланс денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить связь между платежной картой и номером мобильного телефона. Об этом говорится в исследовании.

Для клиентской части приложений основную угрозу представляет возможный доступ к данным пользователей, ведь 43% приложений хранят важные данные на мобильном устройстве в открытом виде. Аналитики Positive Technologies говорят, что, как правило, мошенники могут получить доступ к приложению из-за недостатков в процедурах аутентификации или авторизации, - подобрать пароль пользователя и получить доступ к его личному кабинету. Обойдя защиту одноразовым паролем, хакер может выполнять различные действия в мобильном банке от имени пользователя.

По данным специалистов Positive Technologies, все недостатки, выявленные в мобильных банках для iOS, были не выше среднего уровня риска. В то время как 29% приложений для Аndroid содержали уязвимости высокого уровня риска. Наиболее опасные уязвимости выявлены в Аndroid-приложениях и связаны с небезопасной обработкой ссылок deeplink. Разработчикам Аndroid-приложений предоставляется больше возможностей для реализации различной функциональности. Именно в этом специалисты видят главную причину большего количества уязвимостей в приложениях под Аndroid в сравнении с iOS-приложениями.

54% всех уязвимостей содержатся в серверных частях мобильного банка, а серверная часть каждого мобильного банка содержит в среднем 23 уязвимости. При этом три из семи серверных частей приложений содержат ошибки бизнес-логики. По словам Ольги Зиненко, злоумышленники пользуются повышенным интересом к пандемии COVID-19, но случаев, связанных именно с атаками на мобильные банки, специалисты компании пока не зафиксировали.

Руководитель отдела анализа защищенности "Ростелеком-Солар" Александр Колесов считает, что Аndroid-приложения, действительно, чаще более уязвимы и поэтому большая часть банковских троянов сделана именно для этой платформы. В основном критичные уязвимости связаны с недостатками на уровне бизнес-логики приложений. "Например, это возможности округления суммы или выполнения операции в обход двухфакторной аутентификации, а также IDOR-уязвимости (небезопасные прямые ссылки на объекты - прим. ComNews), с помощью которых злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей", - объясняет представитель "Ростелеком-Солара".

В связи с пандемией количество инцидентов будет расти, так как все стараются пользоваться бесконтактной оплатой. "В прошлом году мы наблюдали рост активности таких зловредов, атакующих корпоративных пользователей. С каждым годом злоумышленники все изобретательнее подходят к рассылке фишинговых писем с подобным вредоносным ПО. Они готовят целевые письма, учитывающие сферу деятельности компании, обращаются по имени к адресату, ссылаются на произошедшие изменения законодательства, а в последнее время даже якобы на срывы поставок или оплаты в связи с пандемией", - предупреждает специалист "Лаборатории Касперского" Сергей Голованов.

По словам директора по консалтингу ГК InfoWatch Марии Вороновой, эпидемия коронавируса спровоцировала резкий уход в онлайн. Множество организаций были к этому не готовы. Увеличилась нагрузка на банковское ПО в части интернет- и мобильного банкингов, платежных платформ, интернет-магазинов с товарами и услугами, завязанных на банковских сервисах. "Часто бывает, что при необходимости быстрого выпуска нового релиза экономят не на разнообразии доработок, а на тестировании, в том числе и на безопасность. Это ведет к росту уязвимостей в ПО и, как следствие, к росту атак на уязвимости", - сказала представитель InfoWatch.

По данным Group-IB, эксплуатация подобных "дыр" на практике случается довольно редко, так как злоумышленникам проще и дешевле использовать человеческий фактор - через фишинговые схемы или обзвоны из колл-центров.