-0.14%
36.07
+0.00%
70.7948
-0.21%
77.5876
-0.21%
1.0959
-0.39%
1696.75

Эксперты оценили уязвимость мобильных приложений банков для мошенников

20 апреля, 06:30
87
Приложения банков содержат уязвимости, которые позволяют красть деньги и данные клиентов, сообщили эксперты Positive Technologies. Пока мошенники в основном используют социальную инженерию, но могут переключиться на приложения
Фото: Михаил Гребенщиков / РБК
Банковские мобильные приложения содержат уязвимости, которые могут привести к утечкам данных клиентов, несанкционированному доступу к приложению и проведению мошеннических операций, а также к краже денежных средств. К такому выводу пришли специалисты Positive Technologies, которые проанализировали уязвимости и угрозы мобильных банков. С исследованием компании ознакомился РБК.
Специалисты выявили уязвимости как в клиентских частях мобильного банка (установленное на устройство пользователя приложение), так и в серверных частях (веб-приложение, которое находится на стороне банка и взаимодействует с приложением клиента через интернет).
Что изучали
Для исследования было выбрано 14 полнофункциональных банковских мобильных приложений для Android и iOS, которые принадлежат семи банкам из топ-50 крупнейших кредитных организаций по величине активов. Каждое из анализируемых приложений скачано из официальных магазинов Google Play и AppStore не менее 500 тыс. раз. Общее число скачиваний всех этих приложений превышает 10 млн.
Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера. Каждое приложение содержит в своем коде как минимум три уязвимости, с помощью которых мошенники могут получить доступ к внутренней инфраструктуре банка.
  • Только один мобильный банк из исследованных не содержал уязвимостей, позволяющих злоумышленнику получить доступ к данным пользователя: например, к выписке по карте, пин-кодам для быстрого доступа в приложение, учетным данным (логин/пароль) и т.п. При этом 43% приложений хранят эти данные в открытом виде, что упрощает доступ злоумышленников.
  • 76% уязвимостей злоумышленники могут использовать без физического доступа к устройству — для этого достаточно установить на телефон жертвы вредоносное приложение, например, в ходе рассылки фишинговых писем. В результате мошенники смогут перехватить SMS от банка, а также получить номера банковской карты.
  • Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: недостатки в iOS-приложениях были не выше среднего уровня риска, в то время как 29% приложений для Android содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями, — именно она выступает точкой входа в приложение для хакеров.
  • Большинство веб-приложений банков (шесть из семи) содержат уязвимости, которые связаны с недостаточными мерами по аутентификации пользователя. Это может привести к несанкционированному доступу злоумышленника к личному кабинету путем подбора пароля. Если ему удастся обойти защиту с помощью одноразового пароля, который высылается в СМС, хакер сможет выполнять различные действия в мобильном банке от имени клиента.
  • В пяти из семи серверных частей злоумышленникам доступны учетные записи пользователей мобильных банков: их имена и фамилии, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.
Наверх