У вас мобильный банк? Плохие новости…

У вас мобильный банк? Плохие новости — тестирование показало недостатки банковских приложений

Многообещающее сообщение «инициализация антивируса» при запуске мобильного Сбербанка говорит лишь о том, что приложение проверяет базовые элементы защиты телефона — разрешения, права доступа, наличие рута или неверных настроек аутентификации пользователя. Любые ошибки тотчас будет предложено исправить.

После ввода логина и пароля ваши деньги целиком доверяются технологии дистанционного обслуживания банковской системой. А у её инженеров безопасности, поверьте, работы всегда с избытком.

Тесты американских банковских приложений (занимают ведущее положение в мире в прогрессе программного обеспечения) показали довольно неожиданную ситуацию.

На Андроид 465 тестов выявили:

  • 9% проблем с безопасностью кода,
  • 10% в секторе обеспечения сохранности данных,
  • 2% уязвимостей критического характера.

На iOS в ходе 315 тестов обнаружено:

  • 8% проблем с низким уровнем безопасности,
  • 4% уязвимостей в конфиденциальности,
  • 0% критических недостатков.

Для российского рынка подобные исследования не производились. Однако технологии применяются схожего характера, поэтому совершенно не исключено, что похожие (или даже худшие) цифры могут показать приложения местных кредитных организаций.

У вас мобильный банк? Плохие новости — тестирование показало недостатки банковских приложений

Проблемы мобильного банка на смартфоне

  1. Файлы клиентского ПО доступны другим программам.
  2. Неверные настройки SSL и незашифрованные сообщения (на iOS ни одна программа не прошла этот тест).
  3. Исполняемые файлы доступны для записи и могут быть затёрты.
  4. Код легко читается и редактируется сторонним разработчиком (проблема обфускации).
  5. Почти не используется SecureRandom.
  6. Подгрузка уязвимого динамического кода.
  7. Подверженность XSS-атакам из-за ошибок в HttpOnly.
  8. Cookie-файлы относительно легко перехватить.
  9. Уязвимость перед прокси-соединением приложений SSL и TLS (вплоть до GPS-определения).
  10. HTTP- и HTTPS-соединения не влияли на подключения к серверам с устаревшими версиями TLS.

Большинство этих проблем решает двухфакторная аутентификация. Мобильные банковские сервисы в России пока обходятся без неё, либо направляют код авторизации через SMS, что совершенно небезопасно. Чтобы обезопасить использование приложения банка на Андроид-устройстве, проследуйте рекомендациям пошаговой инструкции.

Ответственное отношение к конфиденциальности поможет избежать существенных проблем, включая даже потерю бизнеса из-за неправильной настройки телефона.

Читайте также

Может быть интересно

 
 
×
Оргтехника:
Вся оргтехника бесплатно
Время поддержки:
5 дней в неделю с 09 до 18
Итоговая цена IT аутсорсинга вашего офиса (минимальная сумма договора - 6200 руб./мес):
6200 руб./мес