Недостатки безопасности в банковских приложениях раскрывают данные и исходный код

Исследователь изучил 30 финансовых приложений для Android и обнаружил проблемы, включая открытый исходный код и утечки конфиденциальных данных.

Дэнни Палмер | 2 апреля 2019. 13:41 GMT (06:41 PDT) | Тема: Безопасность

Уязвимости безопасности в мобильных приложениях 30 поставщиков финансовых услуг подвергают учреждения и их клиентов риску.

Открытый исходный код, конфиденциальные данные, доступ к внутренним службам через API и многое другое были обнаружены после того, как исследователь загрузил для Android различные финансовые приложения из магазина Google Play и обнаружил, что в среднем потребовалось всего восемь с половиной минут, прежде чем они читали код.

Читайте так же
Huawei США и союзники не покупают оборудование Hua... Вашингтон. США и их союзники решили не закупать оборудование Huawei для телекоммуникационной системы, связанной с национальной безопасностью, заявил в воскресенье советник по национальной безопасности Джон Болтон, поскольку китайский телекоммуникацио...

Уязвимости, в том числе отсутствие бинарной защиты, небезопасное хранение данных, непреднамеренная утечка данных, слабое шифрование и многое другое, были обнаружены в приложениях для банковских операций, кредитных карт и мобильных платежей, а также подробный отчет компании по кибербезопасности Arxan: В простом виде: эпидемия уязвимости в финансовых мобильных приложениях.

«Здесь явно есть системная проблема. это не просто одна компания, а 30 компаний, и она работает в разных отраслях финансовых услуг». сказала ZDNet Алисса Найт, аналитик по кибербезопасности в глобальной исследовательской и консалтинговой фирме Aite Group и исследователь, работавший в рамках исследования.

Подавляющее большинство. в 97 процентах протестированных приложений отсутствовала защита двоичного кода, что позволяло осуществлять реинжиниринг или декомпиляцию приложений, подвергая исходный код анализу и подделке. И 90 процентов протестированных приложений испытали непреднамеренную утечку данных, подвергая данные из финансового приложения другим приложениям на устройстве, в то время как было установлено, что в 80 процентах протестированных приложений реализовано слабое шифрование, что потенциально позволяет злоумышленникам расшифровывать конфиденциальные данные.

Но одна слабость, обнаруженная в 83 процентах протестированных приложений, потенциально может стать подарком для кибератак: было обнаружено, что эти приложения небезопасно хранят данные, иногда в локальной файловой системе устройства, и Найт обнаружил, что можно извлечь то, что должно быть скрытым API ключи.

«Ключи API. это, по сути, тот личный пароль, который вы не хотите получать. То, что было системным обнаружением во многих мобильных приложениях финансовых служб, заключалось в том, что эти частные ключи API находились в коде». сказала она.

«Похоже, что разработчики, написавшие код, не понимали, что на самом деле можно просматривать структуру каталогов этого мобильного приложения и извлекать эти файлы, извлекать ключи из подкаталогов».

Читайте так же
Huawei США и союзники не покупают оборудование Hua... Вашингтон. США и их союзники решили не закупать оборудование Huawei для телекоммуникационной системы, связанной с национальной безопасностью, заявил в воскресенье советник по национальной безопасности Джон Болтон, поскольку китайский телекоммуникацио...

Если злоумышленник сможет завладеть этими «драгоценностями короны», он сможет переопределить API для злонамеренных целей.

«Если у меня есть доступ к исходному коду приложения, я могу изменить URL-адреса и изменить поведение этого приложения и то, куда оно отправляет данные». сказал Найт.

Компания не определила ни одно из приложений, чтобы не добавить дополнительного риска, но сказала, что эти атаки не являются теоретическими.

«В прошлом году мы наблюдали, как многое происходит в Восточной Европе, с такой переупаковкой и распространением приложений. Они собирались в законный банк, но также одновременно отфильтровывали все данные». говорит Расти Картер, вице-президент по управлению продуктами. Арксан рассказал ZDNet.

«Очевидно, здесь есть проблема. Вы должны знать, что противники начинают нацеливаться на эту область. Это новая граница, это новая область внимания для противников, и этот отчет призван заставить финансовые компании увидеть, насколько велики проблема у них здесь и как они могут ее решить , сказала она.

Читайте так же
Huawei США и союзники не покупают оборудование Hua... Вашингтон. США и их союзники решили не закупать оборудование Huawei для телекоммуникационной системы, связанной с национальной безопасностью, заявил в воскресенье советник по национальной безопасности Джон Болтон, поскольку китайский телекоммуникацио...