Мобильные приложения российских банков опасны

Новости безопасности
Мобильные приложения российских банков опасны

Специалисты информационной безопасности предупредили клиентов банковских учреждений Российской Федерации о том, что большая часть приложений для работы с банковскими системами являются небезопасными. Уточняется, что специалисты выявили критическую уязвимость типа MitM примерно в каждом третье приложении для операционной системы Android, и в каждой седьмом для платформы iOS.

Сообщается, что приложения для мобильного банкинга для ОС Android iOS уязвимы к виртуальной атаке типа MitM (человек посередине).

В ходе исследования, проведенного российской компанией Digital Security, специалистами безопасности было проверено около 60 приложений, использующихся банковскими учреждениями и организациями в России, для мобильных устройств с вышеуказанными операционными системами.

Как отметили эксперты, тестирование возможности осуществления виртуальной атаки MitM была выбрана специалистами не случайно: при контроле канала передачи информации между мобильным приложением и удаленным сервером кибер-преступник может похитить финансовые средства с банковского счета жертвы, то есть нанести прямой ущерб клиенту.

Отметим, атака типа MitM представляет собой перехват трафика от отправителя адресату в том случае, когда ни одна сторона не догадывается о существовании перехватчика. Более того, интернет-мошенник может не только мониторить трафик, но и незаметно изменять его.

На сегодняшний день один из самых распространенных сценариев осуществления виртуальной атаки типа MitM является удаленное подключение жертвы к фишинговой точке доступа Wi-Fi. Кибер-преступник, осуществляющий атаку, может создать собственную сеть беспроводного соединения, которая будет полностью идентичной известной сети планшета или телефона. Без проблем подобный сценарий можно реализовать в общественном месте — кафе, парке, торговом центре.

Также злоумышленники практикуют и другие схемы с удаленными подключениями пользователей, при этом главное для них — чтобы мобильный трафик проходил через подконтрольный кибер-преступнику узел.

Зачастую для того, чтобы защитить пользователей от атак типа MitM, разработчики шифруют канал передачи данных при помощи технологий SSL. Таким образом, пользователь и сервер обмениваются соответствующими сертификатами для установления подлинности друг друга.

Но, к сожалению, данную технологию еще используют далеко не все финансовые и банковские учреждения.

«Как бы это ни звучало, еще около года назад наши специалисты сталкивались с приложениями для мобильных устройств, в которых любая передача данных, включая общение, происходила по HTTP протоколу, т.е. все было в открытом виде. Безусловно, это означает, что кибер-преступнику для незаконного завладения финансовыми средствами жертвы нужно было только находится с пользователем в одной сети и иметь минимальную квалификацию для осуществления атаки. В этом случае достаточно было только исправить номера банковских счетов назначения», — сообщили эксперты Digital Security.

Однако, даже внедрение технологии SSL не может гарантировать полной безопасности, поскольку зачастую распространенным классом ошибок является неправильное использование SSL непосредственно разработчиками мобильных приложений. Есть множество видов ошибок, которые они допускают при разработке.

«Как свидетельствует наш опыт в сфере безопасности приложений для смартфонов и планшетов, практически всегда присутствует код, который отвечает за отключение функции проверки действительности сертификата. Этот код зачастую используется разработчиками приложений в тестовых целях. Т.е. из-за невнимательности разработчик код, как правило, попадает в конечный релиз приложения», — отмечают специалисты.

Отзывы на запись: Мобильные приложения российских банков опасны

Отзывов еще нет, будьте первым, оставьте свой отзыв

Оставить отзыв

Ваша оценка
ПлохоТак себеНормальноХорошоСупер! (Пока оценок нет)

 


Наверх