В двух третих банковских приложений содержатся уязвимости

image

Теги: банк, приложение, безопасность

Исследования показали, что представители финансовой отрасли должны повысить стандарты безопасности.

Ариэль Санчес (Ariel Sanchez), консультант по вопросам безопасности с IOActive, проанализировал безопасность банковских приложений, и обнаружил, что многие из них уязвимы.

Санчес тестировал 40 банковских приложений на iPhone и iPad в течение 40 часов. Он не раскрыл названия уязвимых приложений и банков, но уже связался с представителями некоторых финансовых учреждений и проинформировал их об уязвимостях. Эксперт не описал уязвимости во всех подробностях, но считает, что если смог найти их так легко, то так же легко их смогут найти и преступники.

Санчес протестировал безопасность при передаче данных, защиту на уровне компилятора, UIWebViews, механизм хранения данных, записи журнала событий и провел бинарный анализ. В рамках проверки он нашел многочисленные недостатки. Например, 40% приложений не проверяют подлинность SSL-сертификатов, тем самым подвергая их MiTM-атакам.

90% приложений настолько не защищены, что позволяют злоумышленнику перехватывать трафик и внедрить произвольный JavaScript/HTML код в попытке создать поддельные учетные данные.

50% приложений уязвимы к JavaScript инъекциям через UIWebView, позволяя отправлять SMS или электронные сообщения с компьютера жертвы.

70% приложений не защищены ни одним из решений многофакторной аутентификации, что могло бы помочь снизить риск кибератак.

В рамках своего исследования эксперт сгенерировал неизменяемые учетные данные, что могло бы позволить злоумышленнику заразить приложение вредоносным ПО и причинить ущерб многим пользователям.



или введите имя

CAPTCHA
апва
13-01-2014 17:05:02
"В дву третих..."
0 |
Гость
13-01-2014 19:04:43
Ну наверно это как средняя температура по больнице
0 |
arab
14-01-2014 10:39:17
основная уязвимость банковских приложений - сам клиент. только банкам на это начхать.
0 |