Мобильное банковское приложение это удобно: не надо посещать отделение кредитной организации или открывать ее сайт для оплаты услуг ЖКХ, пополнения мобильного телефона, перевода денег другу и других операций. Мобильными банками на своих смартфонах пользуются уже около одного миллиона белорусов.
Но как обстоят дела с реальной безопасностью подобного софта? О защищенности банковских мобильных приложений рассказывает старший эксперт отдела исследований безопасности банковских систем компании Positive Technologies Ярослав Бабин.
В 2017 году мы исследовали защищенность мобильных финансовых приложений различных кредитных организаций. В половине (52%) мобильных банков были обнаружены уязвимости, позволяющие расшифровать, перехватить, подобрать учетные данные для доступа в мобильное приложение или вовсе обойти процесс аутентификации пользователя.
В таких приложениях злоумышленник может совершать операции в мобильном банке от лица его пользователя. Либо атаковать весь банк: в 13% мобильных приложений нам встретилась уязвимость, эксплуатация которой позволяет попасть в самое сердце организации и получить полный контроль над сервером, отвечающем за дистанционное банковское обслуживание. Подобные действия могут привести к существенным финансовым и репутационным потерям банка.
iOS vs Android
iOS-приложения (устанавливаемые на Apple iPhone или iPad) вновь оказались защищены лучше, чем их аналоги для Android. Практически для всех рассмотренных мобильных банков наши эксперты исследовали идентичные приложения, разработанные для разных операционных систем, и в некоторых случаях мобильное приложение для iOS не содержало уязвимостей, которые были обнаружены в Android-приложении. Доля уязвимостей высокого уровня риска в iOS-приложениях составила всего 25%, в то время как в Android-приложениях она составляет 56%. Каждая такая уязвимость может предоставить злоумышленнику конфиденциальную информацию, с помощью которой он в последствии сможет провести атаку на пользователя и украсть деньги.
Читателя подобные цифры могут неприятно удивить, но мы занимаемся анализом защищенности не первый год и должны отметить положительный тренд. За год снизились доли уязвимостей высокого (29% вместо 32% в 2016 году) и среднего уровня риска (56% вместо 60%). Разработчики финансовых приложений стремятся в первую очередь принимать меры для устранения критически опасных уязвимостей. Но впереди у них еще много работы: в половине систем (48%) была выявлена хотя бы одна критически опасная уязвимость.
В чем причина?
Одна из причин, почему ошибок столь много, заключается в интенсивном наращивании банками нового функционала в приложениях. Регулярные обновления разработчиками готовятся в сжатые сроки: главное, что все «съедобно» с точки зрения работоспособности, на безопасность смотрят во вторую очередь. Кроме того, как говорил эксперт по информационной безопасности и технический директор Cinta Infinita Густаво Сорондо на форуме по кибербезопасности PHDays 8, в плане защищенности мобильные приложения отстают от сайтов на 10 лет, — и тут не поспоришь. На рынке мобильных приложений не хватает грамотных решений для безопасной разработки, автоматизации тестирования на проникновение и анализа защищенности.
Безопасен ли онлайн-банк?
Классические системы онлайн-банкинга, которые мы открываем в браузерах, тоже небезгрешны. Критически опасные недостатки отсутствовали только в трети онлайн-банков, исследованных нами.
Но это большой прогресс: годом ранее по-настоящему опасные уязвимости были во всех исследованных нами финансовых веб-приложениях, кроме одного. Больше половины онлайн-банков (63%) содержали уязвимость высокого уровня риска, которая позволяет злоумышленнику получить несанкционированный доступ к функциям веб-приложения. Кроме того, уязвимости в 94% онлайн-банков могли быть использованы злоумышленниками для доступа к сведениям, составляющим банковскую тайну клиентов, и личной информации.
В целом банки выводят на рынок все меньше откровенно небезопасных систем. Суммарная доля систем дистанционного банковского обслуживания с критически опасными уязвимостями снижается с каждым годом. Если в 2015 году уязвимости высокого уровня риска содержались в 90% проанализированных систем, то в 2016 году — в 71%, а в 2017-м уже только в 56%. Но это тоже немало.
Как изменить ситуацию к лучшему?
У частных пользователей, к сожалению, мало возможностей повлиять на защищенность мобильных и онлайн-банков. По этой причине стоит придерживаться типового набора «напоминалок». Во-первых, своевременно обновлять ПО как компьютере, так и на всех мобильных устройствах. Во-вторых, устанавливать мобильные приложения только по ссылкам с официальных банковских сайтов.
Также подключить SMS-оповещения о транзакциях. Это позволит контролировать списания средств со счета. Стоит критично относится к обращениям из банка, присланным по электронной почте и SMS — они тоже легко могут быть подделаны — и даже звонкам по телефону, так как они могут быть совершены злоумышленниками. Помните, что представители банков не запрашивают PIN-код карты пользователя.
Обращаясь к банкам, советую помимо анализа защищенности мобильных и веб-приложений не забывать про анализ исходного кода приложений. Анализировать код необходимо и в системах, построенных на базе готовых вендорских решений: уязвимости могут возникать в процессе внедрения и настройки. До выпуска исправлений рекомендую использовать систему превентивного контроля (web application firewall). А после устранения важно проверять эффективность принятых мер.
Справочно
Пользователей банков часто атакуют с помощью приемов социальной инженерии — именно этот метод атаки злоумышленник может тиражировать, а значит сделать более прибыльным. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным или во внутреннюю инфраструктуру компании.
По нашим данным, 27% сотрудников, исследованных нами компаний, перешли по фишинговой ссылке на поддельный ресурс. В реальной жизни этот шаг мог привести к заражению компьютера вредоносным программным обеспечением. При этом сам сотрудник даже не заметит, что злоумышленник уже обосновался в его компьютере.
Горячие темы