В мобильных приложениях российских банков для iOS и Android найдены уязвимости


Стало известно, что многие приложения для работы с мобильными банками, предлагаемые в России финансовыми организациями, отличаются низкой безопасностью. В частности, уязвимости типа MitM были найдены в каждом седьмом и каждом четвертом приложении для iOS и Android соответственно.

Исследование провела российская компания Digital Security. Во время исследования проверялись 61 приложение для iOS и 59 приложений для мобильного банкинга ОС Android, которые применяют российские финансовые организации.

Как сообщили аналитики, проверка возможности осуществления атаки MitM была выбрана по той причиние, что при контролировании канала передачи данных между сервером и приложением мобильного банкинга у злоумышленника появляется возможность украсть деньги со счета клиента, нанеся ему прямой финансовый ущерб.

Атака MitM – это такой тип перехват трафика, когда ни отправитель, ни адресат не догадываются о существовании перехватчика. Злоумышленник может в этом случае не только читать трафик, но даже незаметно изменять его.

Наиболее типичный сценарий организации атаки под названием «человек посередине» – подключение пользователя к фиктивной точке доступа Wi-Fi. Атакующий для своих целей может развернуть собственную Wi-Fi-сеть, которая полностью идентична известной для мобильного устройства сети. Сценарий такого рода можно легко реализовать в кафе или бизнес-центре.

Результаты проверки приложений мобильного банкинга

Также имеются и другие эффективные схемы. Основной принцип – трафик должен проходить через узел, подконтрольный злоумышленнику.

Виды защиты и число приложений для мобильного банкинга с уязвимостями для ОС Android

Для защиты клиентов от атак типа MitM, разработчики используют шифрование канала связи при помощи технологии SSL. В этом случае клиент и сервер обмениваются сертификатами, необходимыми для подтверждения подлинности друг друга.

Виды защиты и число приложений для мобильного банкинга с уязвимостями для iOS

Как рассказали в Digital Security, еще совсем недавно эту технологию использовали далеко не все банки. Существовало множество приложений для мобильного банкинга, в которых вся передача информации, включая финансовые операции, производилась через HTTP-протокол: аутентификация, информация о переводах, – все исключительно в открытом виде. В этом случае злоумышленнику для совершения финансового преступления нужно было просто находиться с жертвой в одной сети, обладая минимальной квалификацией. Для успешной атаки было достаточно изменить номера счетов назначения, а также, при желании, суммы.

Впрочем, внедрение технологии SSL тоже не гарантирует абсолютную безопасность. Самый типичный класс ошибок – это некорректное использование разработчиками приложений SSL. Они могут допустить ошибки в использовании библиотек для работы с SSL, применить сторонний код с уязвимостями, а также забыть убрать тестовый код из приложения.

Аналитики поясняют, что почти всегда имеется код, который отвечает за отключение проверки действительности сертификата. Этот код разработчики применяют для тестовых целей. Но по причине  невнимательности разработчика такой код может попасть в окончательный релиз программы. В результате уязвимость проверки действительности сертификата может проявляться в одной версии, а затем исчезать в другой, что делает эту уязвимость «плавающей» от одной версии к другой.

Стоит заметить, что работа с SSL может организовываться разными способами: с применением самоподписанных сертификатов (Self-Signed), а также сертификатов, которые выдаются центрами сертификации (CA-Signed Cert Hostame). Более надежный – второй способ. Еще более надежный вариант – использование SSL Pinning. Суть этого подхода заключается во встраивании публичного ключа или сертификата, которому клиент доверяет в случае с взаимодействия с сервером, прямо в приложение. При этом происходит отказ от использования хранилища сертификатов, встроенного в мобильную ОС.

Читайте также:
Похитители кодов: чем могут грозить электронные устройства
В 2013 г. компании потеряли 25 млрд долл. из-за хакеров и инсайдеров
Электронные замки в отелях взломать проще простого
Уязвимость в электронных замках привела к серии краж в отелях
Гослобби YotaPhone: чиновникам запретят пользоваться iPhone и другими смартфонами
Американский хакер придумал систему для угона чужих квадрокоптеров по радио

Источник: CNews

Оставьте отзыв

Ваш емейл адрес не будет опубликован. Обязательные поля отмечены *