В двух третих банковских приложений содержатся уязвимости

Ариэль Санчес (Ariel Sanchez), консультант по вопросам безопасности с IOActive, проанализировал безопасность банковских приложений, и обнаружил, что многие из них уязвимы.

Санчес тестировал 40 банковских приложений на iPhone и iPad в течение 40 часов. Он не раскрыл названия уязвимых приложений и банков, но уже связался с представителями некоторых финансовых учреждений и проинформировал их об уязвимостях. Эксперт не описал уязвимости во всех подробностях, но считает, что если смог найти их так легко, то так же легко их смогут найти и преступники.

Санчес протестировал безопасность при передаче данных, защиту на уровне компилятора, UIWebViews, механизм хранения данных, записи журнала событий и провел бинарный анализ. В рамках проверки он нашел многочисленные недостатки. Например, 40% приложений не проверяют подлинность SSL-сертификатов, тем самым подвергая их MiTM-атакам.

90% приложений настолько не защищены, что позволяют злоумышленнику перехватывать трафик и внедрить произвольный JаvaScript/HTML код в попытке создать поддельные учетные данные.

50% приложений уязвимы к JаvaScript инъекциям через UIWebView, позволяя отправлять SMS или электронные сообщения с компьютера жертвы.

70% приложений не защищены ни одним из решений многофакторной аутентификации, что могло бы помочь снизить риск кибератак.

В рамках своего исследования эксперт сгенерировал неизменяемые учетные данные, что могло бы позволить злоумышленнику заразить приложение вредоносным ПО и причинить ущерб многим пользователям.