60% банковских приложений содержат бреши

Консультант по вопросам безопасности из компании IOActive Ариэль Санчез выполнил детальный анализ защиты банковских приложений. Результаты оказались весьма шокирующими: около двух третьих этих приложений содержали уязвимости.

Всего было протестировано 40 мобильных банковских приложений для iPhone и iPad. В отчете эксперта отмечается, что эти бреши удалось обнаружить очень легко, и по всей видимости также просто их смогут найти и киберпреступники.

В целом консультант из IOActive протестировал защиту при передаче данных, защиту на уровне компилятора, механизм хранения данных, записи журнала событий и провел бинарный анализ. По результатам проверки были найдены многочисленные недостатки. Например, 90% приложений настолько не защищены, что позволяют злоумышленнику перехватывать трафик и внедрить произвольный JavaScript/HTML код в попытке создать поддельные учетные данные, 40% приложений не проверяют подлинность SSL-сертификатов, по причине чего появляется риск атак типа Man-in-the- Middle.

50% приложений уязвимы к JavaScript инъекциям через UIWebView, благодаря чему злоумышленники могут отправлять SMS или электронные сообщения с компьютера жертвы. 70% приложений не защищены с помощью технологии многофакторной аутентификации, что могло бы снизить риск кибератак. 

Новости по теме