В опасности каждый 2-ой мобильный банк
Экспертами Positive Technologies были проанализированы мобильные банковские приложения и установлено, что больше 1/2 выявленных уязвимостей находится в серверных частях приложений, а кражи денежных средств и мошеннические операции могут произойти в каждом 2-ом мобильном банке.
Анализ мобильных банковских приложений показал
1) Cреди банковских приложений нет надёжно защищённых. Ни одного!
2) Всё запущено даже больше, чем вы предполагали, потому что речь идёт не только о клиентской части приложений, но и о серверной.
3) Поскольку 43 % банковских приложений хранят важные данные в открытом виде непосредственно на мобильных устройствах, то для клиентской части этих приложений основная угроза — это возможный доступ к пользовательским данным. Проблемы таковы, что треть уязвимостей не требуют прав администратора, но, что ещё более печально, 76 % уязвимостей можно использовать без физического доступа к устройству.
4) Все недостатки, выявленные в мобильных банках для устройств на iOS — не превышают средний уровень риска, но будут неприятно удивлены любители Android — почти треть их приложений в зоне уязвимости высокого уровня, причём, связаны они с небезопасной обработкой ссылок deeplink3.
5) 54 % всех уязвимостей содержится в серверных частях мобильных банков, которые, в свою очередь, содержат в среднем 23 уязвимости. При этом 3 из 7 серверных частей приложений содержат ошибки бизнес-логики. Речь идёт о функциональности, которая может быть использована злоумышленники для совершения мошеннических операций либо для кражи конфиденциальных данных пользователей приложений. Как отмечается специалистами, ошибки в бизнес-логике могут принести банкам существенные финансовые убытки, а также повлечь судебные разбирательства.
6) Наиболее уязвимыми в мобильных банковских приложениях являются данные для аутентификации.
7) Каждый второй мобильный банк может вступить в сговор с мошенниками за вашей спиной.