Исследование: В каждом втором мобильном банке возможна кража средств

Эксперты Positive Technologies проанализировали банковские мобильные приложения и выяснили, что более половины всех выявленных уязвимостей содержатся в серверных частях приложений, а в каждом втором мобильном банке возможны мошеннические операции и кража денежных средств.
iStock

Как показал анализ, ни одно из исследованных мобильных банковских приложений не обладает приемлемым уровнем защищенности. Под угрозой как клиентские, так и серверные части банковских приложений. Для клиентской части приложений основную угрозу представляет возможный доступ к данным пользователей, ведь 43% приложений хранят важные данные на мобильном устройстве в открытом виде. При этом 76% уязвимостей можно проэксплуатировать без физического доступа к устройству, а более трети уязвимостей не требуют административных прав.

По данным экспертов, все недостатки, выявленные в мобильных банках для iOS, были не выше среднего уровня риска. В то время как 29% приложений для Android содержали уязвимости высокого уровня риска. Наиболее опасные уязвимости выявлены в Android-приложениях и связаны с небезопасной обработкой ссылок deeplink3. Разработчикам Android-приложений предоставляется больше возможностей для реализации различной функциональности. Именно в этом эксперты видят главную причину большего количества уязвимостей в приложениях под Android в сравнении с iOS-приложениями.

При этом 54% всех уязвимостей содержатся в серверных частях мобильного банка, а серверная часть каждого мобильного банка содержит в среднем 23 уязвимости. При этом три из семи серверных частей приложений содержат ошибки бизнес-логики.

Речь идет о функциональности, которой могут воспользоваться злоумышленники для совершения мошеннических операций или получения конфиденциальных данных пользователей. Ошибки в бизнес-логике могут принести банку существенные финансовые убытки и даже повлечь судебные разбирательства, отмечают специалисты.

В каждом втором мобильном банке возможно проведение мошеннических операций. Наиболее уязвимыми в мобильных аутентификационные данные.