«Инфозащита» оценила безопасность программного кода мобильного приложения «Токен ВТБ24-Онлайн»

Интернет Веб-сервисы ИТ в банках MobileB2B
мобильная версия
, Текст: Татьяна Короткова

Компания «Инфозащита» — специализированный интегратор, реализующий комплексные проекты в области информационной безопасности — провела исследование защищенности программного кода мобильного приложения «Токен ВТБ24-Онлайн». Результаты экспертной оценки позволили повысить безопасность работы клиентов ВТБ24 с приложением, сообщили CNews в «Инфозащите».

Весной 2016 г. банк ВТБ24 анонсировал выход токена, который позволяет клиентам проводить ежесуточные и ежемесячные операции на более крупные суммы (в 3 раза), чем при использовании стандартных SMS-кодов. «Токен ВТБ24-Онлайн» представляет собой приложение для мобильной платформы, предназначенное для генерации одноразовых кодов для входа и подтверждения операций в системе «ВТБ24-Онлайн». Уровень безопасности токена соответствует стандартам международных платежных систем Visa и Mastercard (САР/DPA).

Чтобы оценить защищенность приложения от хакерских атак, ВТБ24 организовал стороннюю экспертную оценку безопасности мобильного токена. Исполнителем проекта стала компания «Инфозащита», специалисты которой обладают достаточным практическим опытом в выявлении уязвимостей программного кода.

Специалисты «Инфозащиты» в своей работе преследовали две ключевые цели: выявить ошибки программной реализации, которые могут привести к нарушению нормального функционирования приложений, и обнаружить неправильное использование языковых конструкций, которые могут стать источниками потенциальных ошибок.

«Главной задачей проекта стало выявление угроз безопасности несанкционированного доступа к конфиденциальным данным и перехвата управления над системой, — рассказал Дмитрий Новиков, технический директор. — После проведения испытаний мы подготовили отчет с подробным описанием обнаруженных в ходе анализа уязвимостей и степени их критичности. Помимо этого, был разработан ряд рекомендаций по устранению найденных уязвимостей и произведена оценка трудоемкости их реализации».

Анатолий Брагин, заместитель начальника управления информационной безопасности, заявил: «Известно, что доставка клиенту одноразовых кодов для подтверждения операций в каналах дистанционного банковского обслуживания по каналу SMS в настоящее время не отвечает требованиям безопасности. Мобильное приложение “Токен ВТБ24-Онлайн” — современный и безопасный способ подтверждения операций в ДБО, лишенный тех недостатков по безопасности, которые присущи SMS-каналу. Предоставляя своим клиентам новые инструменты для дистанционного обслуживания, мы всегда проводим проверку на уязвимость и оценку безопасности этих инструментов. ВТБ24 заботится о своих клиентах и заинтересован в том, чтобы клиенты имели удобное и безопасное средство дистанционного обслуживания».