Фахівці компанії Positive Technologies, що працює в сфері інформаційної безпеки, провели аналіз захищеності мобільних додатків для інтернет-банкінгу. Як виявилося, додатки для iOS мають менше проблем з безпекою, ніж мобільні рішення для Android. Експерти оцінювали додатки 2017 року.

Мобільний банкінг – заняття ризиковане

Як виявилося, приблизно кожне четверте додаток для iOS містить критичні уразливості. Але з Android все виглядає набагато сумніше: частка вразливостей склала 56 відсотків. Для порівняння бралися однакові мобільні рішення для онлайн-банкінгу, розроблені під різні операційні системи.

Експерти компанії вважають прийнятними для використання всього 8 відсотків мобільних додатків банків. Що стосується решти, то приблизно в половині випадків зловмисникам надана можливість після певних зусиль отримати інформацію про клієнта банку, а кожне шосте додаток зовсім дозволяло перехопити контроль над процесом роботи клієнта з банківським сервером.

Все сумно і сумно

Фахівці Positive Technologies відзначають зменшення кількості критичних вразливостей в мобільних банках, порівняно з 2016 роком, коли 6 з 10 додатків мали критичні проломи в безпеці. Половина проаналізованих програм для онлайн банкінгу мали, як мінімум, одну критичну вразливість.

З цієї частки ще половина (зрештою, кожне четверте) дозволяють перехоплювати і підбирати облікові дані клієнта банку. Деякі програми дозволяють входити в систему навіть без облікових даних.

Про що забувають банки

Експерти відзначають, що хоча кожне третє проаналізоване мобільний додаток для банкінгу не мало критичної уразливості, банки забувають про механізми захисту. Найпоширенішими помилками стали:

  • міжсайтового виконання сценаріїв;
  • недостатній захист від перехоплення даних;
  • недоліки в реалізації двофакторної авторизації;
  • відсутність захисту від підбору одноразового пароля (обмеження спроб введення або часу існування пароля).

Програми, які розроблялися безпосередньо фахівцями банків, виявилися більш вразливими, ніж продукти сторонніх компаній. Фахівці пов’язують цей факт з відсутністю досвідчених розробників в штаті банківських установ.

Джерело: http://superfly.org.ua/

СТАТТІ ПО ТЕМІБІЛЬШЕ ВІД АВТОРА