Все приложения мобильного банкинга в России уязвимы
ИБ-компания Digital Security опубликовала результаты исследования российских приложений мобильного банкинга для iOS и Android. По данным Digital Security, хотя бы одну уязвимость содержат все изученные приложения.Питерская компания Digital Security, работающая в сфере аудита информационной безопасности, опубликовала отчет о безопасности банковских мобильных приложений. Интересным результатом исследования стало отсутствие большинства крупных розничных банков в Топ-10 приложений с наименьшим числом угроз.
Лидерами по безопасности среди приложений для iOS исследование назвало в порядке убывания: СИАБ, Мастер-Банк, Финансовая группа «Лайф» (по 10 баллов); Банк24.ру, Росевробанк (по 6 баллов); банк БФА, банк «Народный кредит», Сбербанк (по 4 балла); МТС-Банк и банк «Cанкт-Петербург» (по 3 балла).
Топ-приложений для Android составили СИАБ (10 баллов); банк «Cанкт-Петербург», МТС-Банк (по 9 баллов); ФБИиР, Росевробанк (по 8 баллов); Московский кредитный банк, Примсоцбанк, «Русский Стандарт», МДМ-Банк и Инвестбанк (по 7 баллов).
Таким образом, СИАБ, банк «Cанкт-Петербург», МТС-Банк и Росевробанк сумели войти в топ безопасности как для iOS, так и для Android.
Как пишут авторы документа, при составлении отчета ими были проанализированы мобильные приложения не менее 37 банков, включая, в частности, Альфа-банк, Росбанк, Сбербанк, «ВТБ 24» (37 поименованных банков и несколько в категории «другие»).
Исследование проводилось только в отношении приложений, использующих для соединения с сервером интернет-соединение (TCP-IP), а не SMS и не USSD каналы.
Рейтинг безопасности мобильных банковских приложений для iOS и Android. При нажатии открывается полный отчет
Для анализа банковских мобильных приложений в Digital Security проводили статический анализ кода приложений с помощью инструмента собственной разработки (автоматический реверс-инжиниринг).
Специалисты Digital Security составляли рейтинг для двух распространенных мобильных платформ - iOS и Android, начисляя приложениям по 1 баллу за наличие в них защитных механизмов (и отсутствие небезопасных API) и вычитая по 1 баллу в обратных случаях.
Среди потенциальных угроз банковским приложениям, работающим на iOS, учитывались некорректная работа с SSL (в 35% приложений) использование базы данных SQLite, что подразумевает подверженность SQL-инъекциям (22%), использование межсайтового скриптинга (70%), применение хранилища данных Keychain, подверженность XXE-атакам (45%), использование общего системного лога (NSLog), использование скриншотов, системного буфера обмена и автокоррекции текста и наличие в готовом приложении отладочной информации, позволяющей злоумышленнику составить представление о его работе и уязвимостях.
Для Android-приложений угрозами были названы соединения без использования SSL, некорректные проверки SSL-сертификата (в 15% приложений), использование межсайтового скриптинга (20%), использование межпроцессного взаимодействия (обмена данными между приложениями - 22%), использование критичной информации (в частности, IMEI телефона), открытие файлов с общими правами доступа, уязвимость для XXE-атак и подверженность SQL-инъекциям при использовании баз данных SQLi.
Хотя бы одну уязвимость содержит каждое из изученных приложений, отмечают исследователи.
Авторы исследования не сообщили, какие потенциальные уязвимости стали причиной невысокого рейтинга крупных розничных банков, и не показали часть рейтинга ниже 10 позиции, поскольку «это может вызвать всплеск атак на пользователей небезопасных приложений».
Один из авторов исследования Дмитрий Евдокимов, аналитик по ИБ в Digital Security, сообщил CNews, что снижение позиций у приложений ряда банков обусловлено их избыточной функциональностью, «например, взаимодействием с соцсетями».
По его словам, одной из целей исследования стало стремление привлечь внимание сообщества к отсутствию в России стандартов безопасности в области ДБО и мобильного банкинга.
Андрей Грачев, директор Департамента карточных и дистанционных технологий Росбанка заявил CNews, что «у нас нет основания не доверять заключению компании, осуществившей данный аудит».
Он предположил, что на результатах тестирования приложения Росбанка для iPhone сказалось то, что оно не использует SSL-соединение, равно как и проверку SSL-сертификата, поскольку содержит встроенную функцию шифрования всего траффика, более сильную, чем в SSL. Такая реализация является единой для всех приложений банка, вне зависимости от используемого канала обмена сообщениями. По всей видимости, при составлении рейтинга эта информация не была учтена.
Одновременно Андрей Грачев пояснил, что, поскольку критерием отбора для анализа были только приложения, использующие интернет-соединение для передачи данных, приложение Росбанка для платформы Android не должно было входить в число аудируемых, так как в качестве канала обмена документами использует SMS.
По словам Грачева, все внедряемые в Росбанке приложения проходят внешний аудит безопасности, в целом аналогичный исследованию Digital Security.
Пресс-служба Альфа-банка ссобщила, что «"Альфа-Мобайл" сегодня – это современное, универсальное, эффективное, удобное, а главное, безопасное средство управления своими финансами. Безусловно, в банке уделяют особое внимание вопросам системы безопасности мобильных приложений. Это один из приоритетов работы. Поэтому хотелось бы отметить, что сравнение нашего приложения, одного из самых многофункциональных, с программой, которая может только «посмотреть» остаток на счету - на наш взгляд некорректно».
На просьбу CNews к «ВТБ-24» с просьбой прокомментировать результаты исследования банк не дал ответа в течение суток.