Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

Digital Security: мобильные банковские приложения содержат уязвимости

15.03.2013 /
Прочитать позже

    Отправим материал на:

    (Оригинал на www.plusworld.ru)

    Исследователи сделали вывод, что российские разработчики не уделяют достаточного внимания вопросам безопасности. Digital Security (Санкт-Петербург), консалтинговая компания, специализирующаяся на услугах в области информационной безопасности, опубликовала исследование «Анализ безопасности мобильных банковских приложений 2012».

    Данное исследование проводилось с целью описания общей ситуации с безопасностью банковских мобильных приложений, не так дано появившихся на российском рынке, а также классификации существующих в них уязвимостей. В качестве аналитического инструмента был использован статический анализ кода приложений собственной разработки Digital Security (автоматический реверс-инжиниринг).

    В ходе исследования были изучены мобильные приложения более чем 35 российских банков, в том числе и таких крупных розничных банков, как Сбербанк, Альфа-Банк, Банк Русский Стандарт и др. На основе полученных данных был составлен ТОП-10 мобильных банков для iOS и Android с наименьшим числом угроз.

    Среди мобильных приложений для iOS в тройку лидеров вошли мобильные приложения СИАБ, Мастер-Банка и Финансовой группы «Лайф». Среди приложений для Android лидируют также СИАБ и Мастер-Банк (первое и второе место соответственно), третье место занимает МТС-Банк. Далее по защищенности следуют в порядке убывания мобильные приложения для iOS следующих банков: Банка24.ру, РосЕвроБанка, Банка БФА, Банка «Народный кредит», Сбербанка, МТС-Банка и Банка «Санкт-Петербург». Для Android в порядке убывания – ФБИиР, РосЕвроБанка, Московского Кредитного Банка, Примсоцбанка, Банка Русский Стандарт, МДМ-Банка, Инвестбанка. По мнению авторов исследования, мобильные приложения делают уязвимыми для различных сетевых угроз следующие особенности функционала. Мобильные банковские приложения, работающие на iOS в подавляющем большинстве (85%) записывают критичную информацию в лог-файл, т.е. используют общий системный лог; а также не скрывают критичную информацию (> 20%), некорректно работают с SSL (35% приложений), используют базы данных SQLite, что подразумевает подверженность SQL-инъекциям (22%).

    Приложения, работающие на Android, используют IMEI и IMSI в своей работе (45%), неправильно используют механизмы межпроцессного взаимодействия (22%) и, также как и приложения для iOS, некорректно работают с SSL (15%), хотя в этом отношение их защищенность выше iOS-приложений почти в 2 раза (15% против 35%). В отчете представлен список основных уязвимостей банковских мобильных приложений:

    • потенциально уязвимы к XSS 70% iOS-приложений и 20% приложений для Android;
    • уязвимы к обходу директорий 20% iOS-приложений;
    • потенциально уязвимы к XXE-атакам 45% приложений для iOS;
    • потенциально уязвимы к SQLi 22 % iOS-приложений и 20% приложений для Android.

    Большинство разработчиков российских мобильных приложений выпускают приложения с платежным интерфейсом (40%) и только 8% разработчиков не снабжают свои приложения платежным функционалом. Авторы исследования считают, что разработчики не уделяют достаточного внимания вопросам защиты приложения от хакерских атак и хищения финансовых данных, не следуют руководствам по безопасной разработке. Разработчики зачастую не осуществляют аудит кода и тестирование на проникновение, говорится в отчете.

    В заключение авторы приводят следующие рекомендации для предотвращения компрометации данных пользователей мобильных приложений:

    • осведомлять программистов по вопросам некорректной работы приложения;
    • закладывать безопасность в архитектуру;
    • проводить аудит кода;
    • проводить анализ защищенности приложения;
    • применять параметры компилятора, способствующие отражению существующих угроз;
    • контролировать распространение приложения в сети Интернет;
    • быстро закрывать уязвимости и выпускать приложения.

    Больше интересных статей

    Мы используем куки. Никогда такого не было, объясните

    ОК