: UEFIMA.RU: Исследования экспертов по кибербезопасности показали, что банкам срочно необходимо повысить стандарты безопасности своих мобильных приложений. Securitylab сообщает, эксперт по вопросам кибербезопасности компании IOActive Ариэль Санчес проанализировал состояние безопасности банковских приложений и выяснил, что большинство из них имеют существенные уязвимости. Всего Санчесом за 40 часов было протестировано 40 приложений банков для «яблочных» гаджетов. Эксперт не раскрыл наименование уязвимых приложений, а также банков их выпустивших, но однако уже проинформировал представителей ряда финансовых контор о найденных брешах. Также эксперт не обнародовал подробности уязвимостей, однако сказал, что коль скоро он смог обнаружить их, то столь же легко эти уязвимости могут отыскать и киберпреступники.
При проверке Санчес тестировал безопасность передачи данных, механизм их сохранения, защиту компилятора, записи журнала, а также осуществил бинарный анализ. По ходу тестирования эксперт обнаружил многочисленные недостатки. К примеру, 40% приложений совсем не проверяют на подлинность SSL-сертификаты, подвергая их тем самым возможности MiTM-атак.
90% приложений имеют столь низкую защищенность, что предоставляют хакерам возможность перехватывать трафик с целью внедрения произвольного JavaScript кода во время попытки создания фальшивых учетных данных. Половина приложений мало защищены от JavaScript инъекций, проводимых через UIWebView. Это позволяет злоумышленникам отправлять email или SMS с ПК жертвы.
У 70% банковских приложений отсутствует защита через многофакторную аутентификацию, которая помогла бы существенно снизить риск кибернападений. Во время испытания Санчес также создал неизменяемые учетные записи, что позволило бы хакерам инфицировать банковское приложение зловредным ПО с целью причинения ущерба пользователям
Опубликовано 2014-01-15.