Статьи

Часто ли вы задумываетесь о том, как много информации содержится на вашем телефоне? И насколько небезопасным бывает использование мобильных приложений? Сегодня поговорим о киберпреступлениях, разберем работу мобильных банков, а также дадим рекомендации по повышению уровня их безопасности.

Практически каждый второй человек, живущий в 21 веке и имеющий мобильный телефон, пользуется мобильным банком. Это удобно, ведь не нужно тратить время на походы в отделения или использование банковских терминалов. Сидя дома на диване, можно оплатить все штрафы, налоги, открыть новые счета или просто купить продукты.

Тем не менее, на другой чаше весов один большой минус - использование телефонов для доступа к банковским услугам существенно понижает уровень безопасности и повышает шансы злоумышленников завладеть вашими деньгами.

Специалисты компании «Оксиджен Софтвер» решили проанализировать, почему зачастую нарушается безопасность банковских мобильных приложений, и провели исследование самых популярных из них по шести направлениям:

  1. сетевые протоколы приложений;
  2. авторизация, аутентификация, возобновление сессии;
  3. резервное копирование;
  4. сторонние компоненты и их взаимодействие с облачными сервисами;
  5. защита конфиденциальной информации и персональных данных;
  6. защита от манипуляции с информацией приложения.

В результате исследования специалисты нашей компании обнаружили следующее:

  • В двух приложениях полностью отсутствует SSL Pinning, следовательно, возможен перехват зашифрованного трафика. Другое приложение проверяет сертификаты, но при нескольких неуспешных попытках подключения скачивает новые сертификаты с сервера через прослушиваемый канал.
  • Три приложения из пяти обнаруживают на устройстве root-exploit и jailbreak и только два из них ограничивают свой функционал, а третье обнаруживает, но не ограничивает. Остальные приложения не имеют функционала для обнаружения на устройстве root-exploit и jailbreak.
  • Ни одно из приложений не скрывает такую информацию, как логин, пароль, PIN-код, токен.
  • В двух приложениях нет защиты от класса атак повторного воспроизведения.
  • Четыре приложения помещают в резервные копии iTunes конфиденциальную информацию: логины, пароли, PIN-коды, токены доступа, информацию о счетах и банковских картах и др.
  • Для возобновления сессии в одном из приложений достаточно использовать короткий PIN-код и токен.
  • Все аналитические данные передаются без использования SSL Pinning.
  • Только в одном приложении предприняты меры для защиты от обратной разработки.

Проведенное исследование показало, что в современных банковских приложениях есть проблемы в области безопасности, на которые следует обратить внимание их разработчикам. В связи с этим специалисты компании «Оксиджен Софтвер» составили список рекомендаций по повышению уровня безопасности банковских мобильных приложений.

Для защиты от сетевого взаимодействия и попыток MiTM-атак необходимо:

  • проверить доменное имя сервера и сертификата (SSL Pinning);
  • проверить, что трафик на телефоне не проксируется;
  • не доверять сертификатам, которые установлены в системе.

Для защиты от методов обратной разработки необходимо:

  • ограничить функционал приложения в случае, если обнаружен root-exploit или jailbreak;
  • отключить логирование в релизных версиях приложений;
  • вынести функции, отвечающие за обработку конфиденциальной информации, и все криптографические преобразования в отдельные библиотеки, затем усложнить код.

Что касается защиты конфиденциальной информации при передаче по сети, то в данном случае необходимо маскировать токены и пароли при их использовании в запросах к серверу. Для парольной аутентификации использовать SRPP (Secure Remote Password Protocol), по которому пароль не передается по сети.

По дополнительным вопросам вы можете обратиться в нашу службу технической поддержки по электронной почте Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. или через форму на сайте: https://oxygensoftware.zendesk.com/hc/ru/requests/new