ТОП-10 наиболее безопасных мобильных приложений банков

Компания Digital Security (DS), работающая в сфере аудита информационной безопасности, провела  исследование  российских приложений мобильного банкинга для  платформ iOS и Android. В анализе приняли участие мобильные приложения 37 российских банков, в том числе Альфа-Банк, Росбанк, «ВТБ-24», а также банк «Народный Кредит». Интересным результатом исследования стало отсутствие большинства крупных розничных банков в Топ-10 приложений с наименьшим числом угроз, пишет CNews. 

Мобильный банк «Народный кредит», разработанный компанией LIC стал одним из лидеров рейтинга на платформе iOS и вошел в ТОП10 вместе с СИАБ, Мастер-Банк, Финансовая группа «Лайф» Банк24.ру, Росевробанк, банк БФА, Сбербанк, МТС-Банк и банк «Санкт-Петербург».

Рейтинг безопасности мобильных банковских приложений для iOS и Android.

Исследование проводилось только в отношении приложений, использующих для соединения с сервером интернет-соединение (TCP-IP), а не SMS и не USSD каналы.
Для анализа банковских мобильных приложений в Digital Security проводили статический анализ кода приложений с помощью инструмента собственной разработки (автоматический реверс-инжиниринг).
Специалисты Digital Security составляли рейтинг для двух распространенных мобильных платформ — iOS и Android, начисляя приложениям по 1 баллу за наличие в них защитных механизмов (и отсутствие небезопасных API) и вычитая по 1 баллу в обратных случаях.
Среди потенциальных угроз банковским приложениям, работающим на iOS, учитывались некорректная работа с SSL (в 35% приложений) использование базы данных SQLite, что подразумевает подверженность SQL-инъекциям (22%), использование межсайтового скриптинга (70%), применение хранилища данных Keychain, подверженность XXE-атакам (45%), использование общего системного лога (NSLog), использование скриншотов, системного буфера обмена и автокоррекции текста и наличие в готовом приложении отладочной информации, позволяющей злоумышленнику составить представление о его работе и уязвимостях.
Для Android-приложений угрозами были названы соединения без использования SSL, некорректные проверки SSL-сертификата (в 15% приложений), использование межсайтового скриптинга (20%), использование межпроцессного взаимодействия (обмена данными между приложениями — 22%), использование критичной информации (в частности, IMEI телефона), открытие файлов с общими правами доступа, уязвимость для XXE-атак и подверженность SQL-инъекциям при использовании баз данных SQLi.
Хотя бы одну уязвимость содержит каждое из изученных приложений, отмечают исследователи.
Авторы исследования не сообщили, какие потенциальные уязвимости стали причиной невысокого рейтинга крупных розничных банков, и не показали часть рейтинга ниже 10 позиции, поскольку «это может вызвать всплеск атак на пользователей небезопасных приложений».
Один из авторов исследования Дмитрий Евдокимов, аналитик по ИБ в Digital Security, сообщил CNews, что снижение позиций у приложений ряда банков обусловлено их избыточной функциональностью, «например, взаимодействием с соцсетями».
По его словам, одной из целей исследования стало стремление привлечь внимание сообщества к отсутствию в России стандартов безопасности в области ДБО и мобильного банкинга.

Adblock detector