В МОБИЛЬНЫХ ПРИЛОЖЕНИЯХ КАЗАХСТАНСКИХ БАНКОВ ВЫЯВИЛИ УГРОЗЫ БЕЗОПАСНОСТИ
Эксперты проанализировали приложения 11 БВУ.
Центр анализа и расследования кибер атак (ЦАРКА) опубликовал результаты исследования рисков для безопасности 11 приложений казахстанских банков второго уровня. Всего изучено 20 потенциальных уязвимостей, часть из которых являются высококритичными, требующими немедленного исправления.
В ЦАРКА заявляют, что больше половины исследуемых приложений хранит чувствительную информацию в приватном файле внутри приложения. Считается, что данные, которые хранятся внутри приложения, уже защищены, и злоумышленник до них не доберется. Но это ошибочное суждение. Существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей.
«Мы видим, что в ряде случаев проблемы остаются, и это, к сожалению, традиционная история для Казахстана. Внедрение на государственном уровне требований к подключению в платформу легального поиска уязвимостей (Bug Bounty) дало толчок роста к регулярным исследованиям безопасности. Однако впереди большая работа не только в рамках практической безопасности, но в и контексте смены парадигмы мышления, прекращения «невыноса» сора, то есть информации об утечках и уязвимостях, из периметра организации», — заявил генеральный директор и основатель Tsarka Group Олжас Сатиев.
Согласно результатам анализа, в большинстве приложений выявлено отсутствие превентивных мер защиты. Злоумышленники могут запускать приложение с целью создания фейковых аккаунтов, манипуляции различными показателями, внедрения скриптов для обхода защитных механизмов приложения, исследования взаимодействия приложения с операционной системой и другими приложениями, а также анализа взаимодействия приложения по сети, включая исследование API. Установка и использование приложения в таком окружении значительно уменьшает безопасность данных пользователей и, потенциально, увеличивает риски.
Также опасно то, что в приложениях на Android разрешено устанавливать соединения с серверами по незащищенному протоколу HTTP. Этот недостаток может значительно упростить перехват трафика и представлять риск компрометации конфиденциальной информации пользователей.
UTC+00