Банковский софт для iPhone вдвое труднее взломать, чем ПО для Android

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы Техника
мобильная версия
, Текст: Дмитрий Степанов
Positive Technologies представила результаты исследования средств дистанционного банковского обслуживания за 2017 год. Аналитики компании отметили более высокий уровень защищенности мобильных решений для iOS по сравнению с Android и зафиксировали тренд на улучшение общего качества защиты инструментов интернет-банкинга.

Ситуация с мобильными приложениями

Специалисты Positive Technologies, российского разработчика программного обеспечения в сфере информационной безопасности, отметили лучшую защищенность банковских мобильных приложений для операционной системы iOS по сравнению с аналогами для Android.

Так доля критических уязвимостей в приложениях для iOS составила 25%. В то же время в приложениях для Android она оказалась примерно в два раза больше, составив 56%. При этом эксперты в своем исследовании всегда, за исключением одного случая, использовали одинаковые приложения, разработанные для различных ОС. 

Уровень безопасности лишь 8% мобильных банков специалисты оценили как «приемлемый». Анализ мобильных приложений показал, что в 44% из них злоумышленник потенциально мог скомпрометировать банковскую информацию клиента, а в 13% из них существовала уязвимость, и вовсе позволяющая захватить контроль над сервером дистанционного обслуживания.В целом же Positive Technologies отметила тенденцию на снижение относительного количества уязвимостей высокого (29% в 2017 г., 32% в 2016 г.) и среднего (56% и 60% соответственно) уровня риска. 

Доли мобильных банков по максимальному уровню риска уязвимостей

Тем не менее, в 48% проанализированных приложений была обнаружена как минимум одна критическая ошибка, а 52% из них позволяли перехватить, подобрать правильные учетные данные или даже войти в систему без владения этой информацией. Таким образом, вероятный злоумышленник мог бы совершать абсолютно любые банковские операции от лица хозяина учетной записи.

Об уязвимостях онлайн-банков

Как показал анализ популярных онлайн-банков, в 31% финансовых веб-приложений не было обнаружено ни одной критической уявзимости, что является безусловным прогрессом по сравнению с 2016 г., когда такие уязвимости присутствовали во всех исследованных образцах за исключением одного. Несмотря на наличие позитивной динамики в этой области, абсолютно все проанализированные онлайн-банки имели недостатки реализации механизмов защиты. Перечень наиболее распространенных уявзимостей не претерпел существенного изменения по сравнению с 2016 г.: межсайтовое выполнение сценариев (XSS) и недостаточная защита от атак, направленных на перехват данных сохраняют пальму первенства за собой.

Критически опасные уязвимости онлайн-банков (доля приложений)

Эксперты также отметили положительный момент, связанный со значительным снижением доли недостатков реализации двухфакторной аутентификации. В 2017 г. эта уязвимость встретилась в четверти онлайн-банков вместо 71%, которые были в 2016 г. В большинстве уязвимых систем отсутствовала защита от подбора одноразового пароля, а именно не ограничивалось количество попыток ввода или время жизни одноразового пароля.

Системы ДБО все еще уязвимы, но становятся безопаснее

Доля финансовых приложений, содержащих критические уязвимости неуклонно падает. Если в 2015 г. критические уязвимости были найдены в 90% проанализированных систем, а в 2016 г. – в 71%, то в 2017 г. –лишь в 56%.  Тем не менее, 63% онлайн-банков в 2017 г. содержали уязвимость высокого уровня риска «Недостаточная авторизация», при помощи которой злоумышленник имел возможность получить несанкционированный доступ к функциям веб-приложения, не предназначенным для данного уровня пользователя. 

Среднее число уязвимостей различного уровня риска в одном финансовом приложении

Эксперты также зафиксировали небольшой рост среднего количества уязвимостей в онлайн-банках и банковских мобильных приложениях за счет существенного увеличения числа уязвимостей низкого уровня риска. Этот факт объясняется тем, что для разработчиков финансовых приложений устранение критических ошибок является наивысшим приоритетом.

«2017 г. подарил надежду, что финансовые приложения когда-нибудь станут безопасными, – отметила аналитик Positive Technologies Ольга Зиненко. – Мы наблюдали существенное повышение уровня защищенности анализируемых систем ДБО – как онлайн-банков, так и мобильных приложений».

Доли уязвимостей разных типов

Финансовые приложения, разработанные банками оказались менее безопасными, чем построенные на основе готовых решений сторонних разработчиков. Аналитики связывают это с тем, что последние стали уделять безопасности более пристальное внимание, в то время как самим банкам по-прежнему не хватает опытных разработчиков в штате.