Об уязвимости российского мобильного банкинга

20.03.2013

(Оригинал на www.securelist.com)

Автор: Татьяна Никитина

По данным компании Digital Security, питерского специалиста по аудиту информационной безопасности, все мобильные клиенты российских банков для iOS и Android содержат хотя бы одну уязвимость, позволяющую перехватывать данные при обмене клиента с сервером или напрямую эксплуатировать уязвимости мобильного устройства и самого приложения.

Эксперты в течение года тестировали бесплатные платежные iOS- и Android-приложения сорока российских банков, использующие сетевые средства доступа к счету, и пришли к выводу, что разработчики такого софта не уделяют достаточно внимания вопросам безопасности. Cтатический анализ кода клиентской части приложений, проведенный по методу черного ящика, показал, что 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, т.е. позволяют перехватывать платежные данные по методу «человек посередине». 22% приложений для iOS и 20% для Android потенциально уязвимы к SQL-инъекциям, что создает риск кражи информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android содержат XSS-уязвимости; 45% iOS-приложений уязвимы к XXE-атакам (XML eXternal Entity, уязвимость к XML-инъекциям). Последние особо опасны для разлоченных устройств (подвергнутых столь популярному в России jailbreak’у). Наконец, около 22% Android-клиентов неправильно используют механизмы межпроцессного взаимодействия, позволяя сторонним приложениям обращаться к критичным банковским данным.

На основе полученных результатов эксперты составили Тор 10 наиболее безопасных мобильных банков для iOS и Android. При составлении рейтинга программе присваивался 1 балл за наличие защитного механизма или отсутствие небезопасного API определенного класса, в противном случае общий индекс сокращался на 1 балл.

По оценке Digital Security, лидерами по защищенности среди банковских клиентов для iOS оказались:

СИАБ, Мастер-Банк, Финансовая группа «Лайф» (по 10 баллов);

Банк24.ру, РосЕвроБанк (по 6 баллов);

банк БФА, банк «Народный кредит», Сбербанк (по 4 балла);

МТС-Банк, банк «Cанкт-Петербург» (по 3 балла).

Тор 10 безопасных приложений для Android составили: СИАБ (10 баллов);

«Cанкт-Петербург», МТС-Банк (по 9 баллов);

ФБИиР, РосЕвроБанк (по 8 баллов);

Московский Кредитный Банк, ПримСоцБанк, «Русский Стандарт», МДМ Банк, Инвестбанк (по 7 баллов).

Любопытно, что многие крупные банки – Альфа-Банк, Росбанк, ВТБ 24 – в эти рейтинги не попали.