«Халат» для мобильного банка

15.04.2013

Оригинал на www.banki.ru

Автор: Леонид Чуриков

Протестировав 80 мобильных банковских приложений, петербургская компания Digital Security не нашла ни одного полностью безопасного. И обвинила разработчиков в «халатности». Последние, а вместе с ними и некоторые банкиры не согласились с такими радикальными выводами исследователей.

В исследовании Digital Security были рассмотрены мобильные приложения российских банков, использующие интернет-соединение для передачи данных. Иначе говоря, «за бортом» остались СМС-банкинг и телефонные банковские операции, совершаемые через IVR-службу. В число протестированных попали по четыре десятка приложений для операционных систем iOS (Apple) и Android (Google), в том числе от Альфа-Банка, а также банков «Санкт-Петербург», «Балтика», Банка24.ру, БФА, ВТБ, ВТБ 24, Газпромбанка, Инвестбанка, Крайинвестбанка, КС Банка, Мастер-Банка, МДМ, Московского Индустриального Банка, Московского Кредитного Банка, Мордовпромстройбанка, МТС-Банка, «Народного Кредита», НОМОС-Банка, Первобанка, Примсоцбанка, Промсвязьбанка, Росбанка, РосЕвроБанка, РосИнтерБанка, РСХБ, «Русского Стандарта», Сбербанка, Связь-Банка, банка СИАБ, Смоленского Банка, ТКС, УБРиР, «Финансовой группы Лайф», Ханты-Мансийского Банка и ЮниКредит Банка.

Если в общих чертах описать методику исследования, опираясь на то, как ее представили эксперты, то она выглядит следующим образом: тестировщики выбрали 12 «уязвимостей», характерных для мобильных приложений в целом, и начисляли банковским системам по 1 баллу за отсутствие каждой из них.

Неутешительные итоги

В итоге максимальных 12 баллов не набрала ни одна банковская мобильная программа. По 10 очков получили три приложения для iOS — от банка СИАБ, Мастер-Банка и «Финансовой группы Лайф» (LifeMobile)), а также одно Android-приложение — снова от СИАБа.

Среди приложений для устройств фирмы Apple в десятку наиболее безопасных, по мнению Digital Security, попали (помимо трех перечисленных выше решений) системы Банка24.ру и РосЕвроБанка (набрали по 6 баллов из 12 возможных), а также приложения Банка БФА, «Народного Кредита» и Сбербанка (4 балла из 12), МТС-Банка и «Санкт-Петербурга» (по 3 балла).

В хит-параде мобильных приложений для смартфонов с операционной системой Android за приложением банка СИАБ с отставанием в 1 очко оказались системы мобильного банкинга от МТС-Банка и «Санкт-Петербурга», 8 из 12 баллов набрали мобильные УБРиР и РосЕвроБанк, по 7 — у МКБ, Примсоцбанка, «Русского Стандарта», МДМ, и Инвестбанка.

Специалисты Digital Security описали несколько распространенных недостатков мобильных банковских приложений, не упоминая при этом, какой именно мобильный банк грешит той или иной «дырой» в безопасности, чтобы не давать хакерам лишних зацепок.

Где «подтекает» мобильный банкинг?

Среди основных претензий, которые исследователи банковских систем высказали разработчикам, — «халатность» при приведении тестовой версии приложения в «боевой» вид. Такой безалаберный подход, по мнению исследователей, «является характерной чертой разработчиков мобильных «Банк — клиентов». В подтверждение своих слов тестировщики заявляют, что ими в процессе анализа приложений было найдено много отладочной информации, а также файлов для внутреннего использования, в которых хранится переписка разработчиков, отметки о состоянии закрытия той или иной ошибки или реализации нового функционала. Такие данные при желании могут использоваться злоумышленниками в процессе заражения смартфонов клиентов банков.

Если говорить о статистике, то, по данным Digital Security, 80% приложений в Apple Store страдают тем, что записывают отладочную информацию в общий «системный лог». В результате мошенник, заразивший смартфон вредоносной программой, может легко получить доступ к конфиденциальным данным, поскольку информацию из системного лога можно скачать любым приложением, в том числе вредоносной программой, попавшей в смартфон.

75% приложений под iOS могут хранить важную информацию (логин, пароль, PIN, номер счета и т. д.) на скриншотах, 60% сохраняют ее в «словарях автокоррекции» и «буфере обмена». Это также значительно упрощает кражу персональных данных.

Каждое пятое приложение для iOS для Android оказалось потенциально уязвимо к так называемой SQL-инъекции — выдаче или подмене конфиденциальных данных при введении злоумышленником программного кода-запроса.

70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS — одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного «Банк — клиента» (изменив внешний вид интернет-странички) и таким образом, например, украсть его аутентификационные данные.

45% приложений для iOS потенциально уязвимы к XXE-атакам, где безобидный с первого взгляда XML-запрос подгружает в приложение вредоносные команды злоумышленника. Эти атаки особенно опасны для устройств, подвергнутым столь популярной в России операции jailbreak.

Разработчики и банкиры не согласны

Эксперты Qulix Systems (разработчик системы мобильного банкинга ВТБ 24) полагают, что без раскрытия уязвимостей каждого приложения невозможно оценить объективность рейтинга. Самостоятельно проведенная специалистами Qulix «декомпиляция» приложения — победителя среди систем мобильного банкинга для телефонов с операционной системой Android сразу «обнаружила набор проблем, с которыми приложение ну никак не может быть лидером». «Если компания заинтересована в серьезном восприятии своих результатов, то сначала это стоит доказать профессионалам», — заявил заместитель генерального директора Qulix Systems Валерий Тихонович.

Руководитель фабрики инноваций Промсвязьбанка Александр Солонин согласен с коллегами в том, что сложно подтвердить или опровергнуть рейтинг, так как методика исследования приложений не раскрыта полностью, а есть только критерии и результаты.

Описывая защищенность мобильного канала обслуживания клиентов, Солонин подчеркнул, что он ничем не отличается от любого другого (как то интернет-банк, банкомат и т. п.). По его словам, Промсвязьбанк осуществляет «тщательную проверку приложения перед его публикацией». Причем данную проверку проводят не разработчики приложения, а специальное подразделение банка, ответственное за информационную безопасность. И только после многократных тестов и проверок безопасности приложения (как и любого другого удаленного канала взаимодействия с клиентом) оно попадает к пользователям.

Протест вызвало исследование и у представителей еще одной компании, специализирующейся на разработке банковских приложений, — Unreal Mojo (ее программисты создали систему мобильного банкинга Альфа-Банка). Эксперты этой фирмы не согласны, в частности, с критериями оценки.

Сбербанк, тоже недовольный рейтингом своих мобильных приложений (в десятку лучших попало только приложение для iOS, получившее 4 балла), запросил у исследователей детализированную информацию о выявленных потенциальных уязвимостях. В итоге специалисты банка выяснили, что «четыре из отмеченных потенциальных уязвимостей реально таковыми не являются, поскольку в приложении приняты необходимые компенсационные меры». Вследствие этого оценка приложения Сбербанка, по мнению специалистов кредитной организации, повышается как минимум до 8 баллов. Кроме того, в «Сбере» недовольны тем, что в рейтинге никак не учитывается способность мобильного банковского приложения распознавать смартфоны со взломанной операционной системой (подвергнутой процедуре jailbreak). Между тем сбербанковские приложения, детектирующие jailbreak, либо вообще отказываются работать на таком устройстве, либо предоставляют ограниченный функционал, что влияет на безопасность самым существенным образом. Напомним, среди всех решений, изученных фирмой Digital Security, распознавать телефоны с «незаводской» операционной системой оказались способны только два — одно, как выяснилось, принадлежит Сбербанку. Имя банка — обладателя второго подобного приложения Digital Security держит в секрете.