Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

Все приложения мобильного банкинга в России уязвимы

03.07.2013 /
Прочитать позже

    Отправим материал на:

    (Оригинал на safe.cnews.ru)

    Автор: Владислав Мещеряков

    ИБ-компания Digital Security опубликовала результаты исследования российских приложений мобильного банкинга для iOS и Android. По данным Digital Security, хотя бы одну уязвимость содержат все изученные приложения.

    Питерская компания Digital Security, работающая в сфере аудита информационной безопасности, опубликовала отчет о безопасности банковских мобильных приложений. Интересным результатом исследования стало отсутствие большинства крупных розничных банков в Топ-10 приложений с наименьшим числом угроз.

    Лидерами по безопасности среди приложений для iOS исследование назвало в порядке убывания: СИАБ, Мастер-Банк, Финансовая группа «Лайф» (по 10 баллов); Банк24.ру, Росевробанк (по 6 баллов); банк БФА, банк «Народный кредит», Сбербанк (по 4 балла); МТС-Банк и банк «Cанкт-Петербург» (по 3 балла).

    Топ-приложений для Android составили СИАБ (10 баллов); банк «Cанкт-Петербург», МТС-Банк (по 9 баллов); ФБИиР, Росевробанк (по 8 баллов); Московский кредитный банк, Примсоцбанк, «Русский Стандарт», МДМ-Банк и Инвестбанк (по 7 баллов).

    Таким образом, СИАБ, банк «Cанкт-Петербург», МТС-Банк и Росевробанк сумели войти в топ безопасности как для iOS, так и для Android.

    Как пишут авторы документа, при составлении отчета ими были проанализированы мобильные приложения не менее 37 банков, включая, в частности, Альфа-банк, Росбанк, Сбербанк, «ВТБ 24» (37 поименованных банков и несколько в категории «другие»).

    Исследование проводилось только в отношении приложений, использующих для соединения с сервером интернет-соединение (TCP-IP), а не SMS и не USSD каналы.

    Рейтинг безопасности мобильных банковских приложений для iOS и Android доступен по ссылке.

    Для анализа банковских мобильных приложений в Digital Security проводили статический анализ кода приложений с помощью инструмента собственной разработки (автоматический реверс-инжиниринг).

    Специалисты Digital Security составляли рейтинг для двух распространенных мобильных платформ — iOS и Android, начисляя приложениям по 1 баллу за наличие в них защитных механизмов (и отсутствие небезопасных API) и вычитая по 1 баллу в обратных случаях.

    Среди потенциальных угроз банковским приложениям, работающим на iOS, учитывались некорректная работа с SSL (в 35% приложений) использование базы данных SQLite, что подразумевает подверженность SQL-инъекциям (22%), использование межсайтового скриптинга (70%), применение хранилища данных Keychain, подверженность XXE-атакам (45%), использование общего системного лога (NSLog), использование скриншотов, системного буфера обмена и автокоррекции текста и наличие в готовом приложении отладочной информации, позволяющей злоумышленнику составить представление о его работе и уязвимостях.

    Для Android-приложений угрозами были названы соединения без использования SSL, некорректные проверки SSL-сертификата (в 15% приложений), использование межсайтового скриптинга (20%), использование межпроцессного взаимодействия (обмена данными между приложениями — 22%), использование критичной информации (в частности, IMEI телефона), открытие файлов с общими правами доступа, уязвимость для XXE-атак и подверженность SQL-инъекциям при использовании баз данных SQLi.

    Хотя бы одну уязвимость содержит каждое из изученных приложений, отмечают исследователи.

    Авторы исследования не сообщили, какие потенциальные уязвимости стали причиной невысокого рейтинга крупных розничных банков, и не показали часть рейтинга ниже 10 позиции, поскольку «это может вызвать всплеск атак на пользователей небезопасных приложений».

    Один из авторов исследования Дмитрий Евдокимов, аналитик по ИБ в Digital Security, сообщил CNews, что снижение позиций у приложений ряда банков обусловлено их избыточной функциональностью, «например, взаимодействием с соцсетями».

    По его словам, одной из целей исследования стало стремление привлечь внимание сообщества к отсутствию в России стандартов безопасности в области ДБО и мобильного банкинга.

    Андрей Грачев, директор Департамента карточных и дистанционных технологий Росбанка заявил CNews, что «у нас нет основания не доверять заключению компании, осуществившей данный аудит».

    Он предположил, что на результатах тестирования приложения Росбанка для iPhone сказалось то, что оно не использует SSL-соединение, равно как и проверку SSL-сертификата, поскольку содержит встроенную функцию шифрования всего траффика, более сильную, чем в SSL. Такая реализация является единой для всех приложений банка, вне зависимости от используемого канала обмена сообщениями. По всей видимости, при составлении рейтинга эта информация не была учтена.

    Одновременно Андрей Грачев пояснил, что, поскольку критерием отбора для анализа были только приложения, использующие интернет-соединение для передачи данных, приложение Росбанка для платформы Android не должно было входить в число аудируемых, так как в качестве канала обмена документами использует SMS.

    По словам Грачева, все внедряемые в Росбанке приложения проходят внешний аудит безопасности, в целом аналогичный исследованию Digital Security.

    Пресс-служба Альфа-банка ссобщила, что «»Альфа-Мобайл» сегодня – это современное, универсальное, эффективное, удобное, а главное, безопасное средство управления своими финансами. Безусловно, в банке уделяют особое внимание вопросам системы безопасности мобильных приложений. Это один из приоритетов работы. Поэтому хотелось бы отметить, что сравнение нашего приложения, одного из самых многофункциональных, с программой, которая может только «посмотреть» остаток на счету — на наш взгляд некорректно».

    На просьбу CNews к «ВТБ-24» с просьбой прокомментировать результаты исследования банк не дал ответа в течение суток.

    Больше интересных статей

    Мы используем куки. Никогда такого не было, объясните

    ОК