97% финансовых мобильных приложений не обеспечены защитой от атак

мобильное приложение шифрование уязвимость
97% финансовых мобильных приложений не обеспечены защитой от атак
мобильное приложение шифрование уязвимость

Большинство приложений содержат в коде важную информацию, позволявшую получить доступ к серверам вендора и скомпрометировать данные пользователей.

Подавляющее большинство мобильных приложений крупных финансовых компаний подвержены проблемам безопасности, воспользовавшись которыми злоумышленники могут получить доступ к конфиденциальным данным, включая банковские учетные данные, показало исследование , проведенное специалистами компании Aite Group по заказу Arxan Technologies.

Исследователи проанализировали 30 размещенных в каталоге Google Play Store приложений, связанных с различными сферами (банковской, мобильными платежами, страхованием и пр.) и выяснили, что практически все из них содержат в своем коде или подпапках важную информацию, в том числе закрытые ключи, ключи API и сертификаты, с помощью которых преступники могут получить доступ к серверам вендора и скомпрометировать данные пользователей.

Согласно отчету, 97% проанализированных приложений не обладают защитой от реверс-инжиниринга, позволяя легко получить доступ к исходному коду с помощью доступных в интернете инструментов. По словам старшего аналитика Aite Group Алиссы Найт (Alissa Knight), в среднем взлом приложения занимал всего 8,5 минут.

Кроме того, 90% программ допускали утечку информации, совместно используя сервисы с другими приложениями на устройстве, и тем самым позволяли другим приложениям получать доступ к финансовым данным.

Как выяснилось, 83% приложений хранят данные в неподконтрольных местах, например, в локальной файловой системе устройства, на внешних накопителях или копируют информацию в буфер обмена, предоставляя к ней доступ другим программам. Еще одной распространенной проблемой оказалось слабое шифрование – 80% приложений использовали либо ненадежные криптоалгоритмы, либо в них был некорректно реализован стойкий метод шифрования. При этом 70% приложений использовали ненадежный генератор случайных чисел, что позволяло с легкостью взломать или угадать значения.

Большое число уязвимостей представляет прямую угрозу безопасности финансовых организаций и их клиентов, которые могут стать жертвами взлома аккаунтов, мошенничества или кражи личности, подчеркнули исследователи.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Новости по теме

За кулисами кибербезопасности: что скрывают Fortinet, JetBrains и Microsoft?

BatBadBut: ошибка в Rust позволяет захватить компьютер без вашего ведома

Уязвимости Nagios XI могут превратить ваш сервер в часть ботнета

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

CVE-2024-21894: продукты Ivanti вновь тонут в RCE- и DoS-атаках

Ваш Intel в безопасности? Microsoft подсказывает, как защититься от уязвимости Spectre

OpenSSL 3.3.0: безопасность интернет-соединений и расширенные API

Telegram устранил 0day, используемый для удаленного запуска кода

Обновите Netcat CMS: хакеры могут создавать учетные записи админов