Мобильный онлайн-банкинг – занятие рискованное

Как оказалось, примерно каждое четвертое приложение для iOS содержит критические уязвимости. Но с Android все выглядит намного печальнее: доля уязвимостей составила 56 процентов. Для сравнения брались одинаковые мобильные решения для онлайн-банкинга, разработанные под разные операционные системы.

Эксперты компании считают приемлемыми для использования всего 8 процентов приложений мобильных банков. Что касается остальных, то примерно в половине случаев злоумышленникам предоставлена возможность после определенных усилий получить информацию о клиенте банка, а каждое шестое приложение вовсе позволяло перехватить контроль над процессом работы клиента с банковским сервером.

Все уныло и печально

Специалисты Positive Technologies отмечают уменьшение количества критических уязвимостей в мобильных банках по сравнению с 2016 годом, когда 6 из 10 приложений имели критические бреши в безопасности. Половина проанализированных приложений для онлайн банкинга имели, как минимум, одну критическую уязвимость.

Из этой доли еще половина (в итоге, каждое четвертое) позволяют перехватывать и подбирать учетные данные клиента банка. Некоторые приложения позволяют входить в систему даже без учетных данных.

О чем забывают банки

Эксперты отмечают, что хотя каждое третье проанализированное мобильное приложение для банкинга не имело критической уязвимости, банки забывают о механизмах защиты. Самыми распространенными ошибками стали:

• межсайтовое выполнение сценариев;
• недостаточная защита от перехвата данных;
• недостатки в реализации двухфакторной авторизации;
• отсутствие защиты от подбора одноразового пароля (ограничение попыток ввода или времени существования пароля).

Приложения, которые разрабатывались непосредственно специалистами банков, оказались более уязвимыми, чем продукты сторонних компаний. Специалисты связывают этот факт с отсутствием опытных разработчиков в штате банковских учреждений.