Все чаще при выборе банка его будущие клиенты обращают внимание на удобство работы с банковским мобильным клиентом для Android или iOS. Но, помимо удобства, обращать внимание нужно и на безопасность программного обеспечения. Может ли пользователь каким-либо образом сам оценить надежность приложения?
Удобство или безопасность?
Недавно агентство Markswebb Rank & Report опубликовало ежегодный рейтинг мобильных банковских приложений. Одним из критериев попадания в него того или иного приложения стала величина пользовательской аудитории. А лидерство определялось в зависимости от его функциональности и удобства. Получилось, что чем активнее дорабатывались приложения в течение года, чем большее число технологий, ускоряющих и облегчающих работу с ними, с точки зрения пользователя, было внесено, тем больше шансов у приложения оказаться в топе рейтинга. Однако тема безопасности приложений осталась за границами исследования.
Ни для кого не секрет, что чаще всего максимально удобные и удовлетворяющие любым пользовательским запросам приложения страдают недостаточным уровнем безопасности. А те, которые, наоборот, ставят во главу угла усиление безопасности, не так уж удобны в использовании. Что делать? Жертвовать ли защитой в угоду комфорту? Или продолжать «плакать и колоться о неудобный, но безопасный кактус»?
Для того чтобы ответить на этот вопросы, мы выделили ряд критериев, которые влияют на безопасность мобильного банковского приложения. Чем большее их число реализовано в конкретном приложении, тем выше гарантии сохранности денежных средств его пользователя. Для наглядности все критерии мы сгруппировали по степени влияния на общий уровень безопасности приложения: где три звездочки присваиваются критерию, наиболее ощутимо влияющему на защищенность, а две и одна — аналогично по убывающей. «Идеальных» приложений не существует, однако и здесь действует принцип «самого слабого в стае»: чем больше минусов, тем больше шансов стать жертвой мошенников. Кстати, часть предложенных критериев пользователи приложений могут оценить самостоятельно, другие требует более высокой технической компетенции. Тем не менее знать о них необходимо.
Одноразовые пароли***
Первое, что необходимо понимать про пароли: отсутствие двухфакторной аутентификации с помощью СМС (или других методов) резко увеличивает шанс на успешное хищение средств со счетов клиента. Поэтому к наличию двухфакторной аутентификации мы рекомендуем отнестись с наибольшим вниманием. Тем более что как раз этот критерий не требует глубокого погружения в техническую часть.
На что стоит обратить внимание? Во-первых, приходят ли вообще СМС с одноразовыми паролями. Чаще всего логика разработчика приложения такова: «Вы уже используете мобильное приложение, зачем еще на него же присылать сообщение с паролем?» В результате злоумышленник, похитивший только идентификатор сессии и не захвативший ваш телефон, может проводить операции безо всяких подтверждений. Также злоумышленники могут просто подбирать логины и пароли к мобильным приложениям и, в случае успеха, получить доступ к денежным средствам владельца приложения.
Во-вторых, какие действия с приложением (или в нем) подтверждаются одноразовым паролем. Причем варианты в данном случае могут быть, как говорится, «в ассортименте»: регистрация, вход, финансовые операции, смена личных данных, смена пароля... Иногда в мобильном банке доступны далеко не все операции, а только шаблоны, заданные из интернет-банка, смена пароля не предполагается. И конечно же, чем меньше разрешено, тем спокойнее можно себя чувствовать. Но если учесть, что мобильные приложения по своей функциональности стремятся догнать интернет-банкинг, то о повышающем безопасность «запрете» говорить не приходится.
В-третьих, стоит оценить, можно ли отключить подтверждение с помощью СМС совсем: иногда встречаются абсурдные случаи, когда для того, чтобы отключить использование одноразовых паролей, нужно всего лишь нажать одну-единственную кнопку. И при этом совсем не требуется вводить дополнительный пароль из СМС.
Четвертый пункт: сколько попыток дается на неверный ввод пароля и что происходит далее. Есть ли ограничение на число раз некорректного ввода пароля, какова его длина, в конце концов. Так, пароль, содержащий менее пяти символов, в современных реалиях слишком ненадежен. А если вам, скажем, трижды предоставили по три попытки ввода пароля (а встречаются пороги даже в десять попыток) из-за некорректности и не заблокировали — это более чем повод задуматься о безопасности приложения.
Еще один нюанс, который нельзя упускать из виду, — насколько информативно содержимое подтверждающих СМС: можно ли понять, что именно ты оплачиваешь или какую операцию совершаешь. Злоумышленники, кстати, могут подделывать запросы на операции прямо «на лету», и пользователь, будучи уверен, что совершает одну операцию, на самом деле совершит другую.
Ну и, наконец, нельзя забывать об аппаратной привязке к сим-карте. Самый простой способ ее проверить — сходить в салон связи и поменять сим-карту на тот же номер, а затем заново совершить операцию. Если пароли будут приходить как ни в чем не бывало, это явно нехороший признак. Если же придется подтверждать смену сим-карты через звонок в банк или поход в отделение, значит ваш банк имеет защиту от мошенничества, основанного на перевыпуске сим-карт.
Перехват трафика***
Насколько легко осуществить перехват трафика с помощью установленного сертификата? Для данной проверки вам необходимо провести так называемую атаку «человек посередине». Неподготовленному человеку провести ее трудно, однако в Сети есть подробные инструкции, адаптированные для Android и для iOS. Причем забота о том, чтобы злоумышленнику было сложно провести атаку «человек посередине», лежит именно на банках. Иначе, если удастся заставить клиента установить произвольный сертификат, злоумышленники смогут с легкостью перехватывать его трафик.
Вредоносы и атаки***
Никогда не лишне выяснить, существуют ли вредоносные программы, разработанные специально под ваше мобильное приложение, — различные информационные ресурсы (вроде SecurityLab или Threatpost) регулярно публикуют данные о появившихся (или активизировавшихся) вредоносах. Стоит только ввести в поисковую строку название мобильного приложения (или банка) в сочетании со словами «хакерские атаки», «хакеры», «хищение денег» и т. д. Крылатая фраза «кто предупрежден, тот вооружен» и в данном случае сохраняет свою актуальность: что о приложении говорят клиенты в отзывах на Banki.ru, как часто появляются новости или сообщения о том, что некто совершил мошеннические операции с вашим мобильным банком? Информационное поле в Глобальной сети позволяет оценить уровень текущих рисков для пользователей различных сервисов, в том числе и мобильного банкинга. Если на клиентов вашего банка охотятся все хакеры, кому не лень, это явно повышает шанс на компрометацию вашего личного счета.
Реакция на подозрительные операции**
Вспомните, что происходит при блокировании карты: чтобы разблокировать ее, приходится идти в офис, или она автоматически разблокируется, спустя, скажем, сутки? Первое явно безопаснее, а второе — удобнее, тут не поспоришь. И это самый показательный пример компромисса между удобством и безопасностью. Например, есть банки, которые блокируют подозрительные операции, совершенные из другого (не характерного для клиента) географического региона. Хотя, уезжая, скажем, в отпуск или командировку, клиент может заблаговременно сообщить банку даты поездки и маршрут. Это позволит избежать блокировки платежных операций во время поездки. В целом чем легче последовательность действий для разблокировки счетов, тем легче это будет сделать не только их владельцу, но и злоумышленникам.
Операционная система**
Статистика наших исследований показывает, что в зависимости от того, о какой платформе идет речь (Android или iOS), ситуация также может меняться. В среднем сегодня каждое Android-приложение имеет 3,8 уязвимости, тогда как для приложений, работающих под управлением iOS, этот параметр равен 1,6. При этом уязвимости для операционных систем компании Apple эксплуатируют в реальных условиях гораздо реже, чем уязвимости для мобильных операционных систем от Google. И, соответственно, шанс быть атакованным у пользователей приложений на iOS гораздо меньше. Владельцам же Android настоятельно рекомендуется использовать антивирусное ПО, которое может уменьшить вероятность эксплуатации известных уязвимостей.
Автоматический поиск уязвимостей*
Знаете ли вы, что существуют сервисы проверки мобильных приложений? А они есть. И ими стоит пользоваться. Информацию об уязвимостях можно получить, например, воспользовавшись порталом Hackapp, что очень удобно для рядового пользователя, так как в этом случае достаточно просто разместить ссылку на приложение в AppStore. А можно загрузить APK-файл приложения под Android на АРК-analyzer.net или другом подобном ресурсе. Для начала пользователю, конечно, придется научиться скачивать APK-файл мобильного приложения — это формат архивных файлов-приложений для Android. Такой файл может иметь любое имя, но расширение всегда будет .apk (например, myAppFile.apk). Кстати, даже если сервис не нашел уязвимостей, это вовсе не означает, что их нет. И наоборот: если уязвимости найдены, это далеко не всегда значит, что они критичны. Но любая дополнительная информация о приложении будет полезна. Анализировать подобные приложения, работающие под управлением iOS, гораздо сложнее, поэтому соответствующих бесплатных автоматизированных онлайн-сервисов пока нет.
Обновления*
Только ленивый сегодня не в курсе важности своевременного обновления установленных на ПК систем. К истории с мобильными банковскими приложениями это правило также применимо. Как часто обновляется мобильное приложение? Работает ли при этом необновленная версия? Работает ли приложение на старых версиях операционной системы?
Если разработчики не уделяют должного внимания обновлениям операционных систем (в том числе в вопросах безопасности) и позволяют запускать свои приложения на старых операционных системах, это увеличивает шансы взлома приложения с использованием известных уязвимостей самих ОС. Особенно важно это для семейства Android, где регулярные обновления призваны устранить найденные критичные уязвимости.
Если же разработчики регулярно ищут и исправляют уязвимости в своих приложениях, не дают запускаться уязвимым приложениям на уязвимых системах, это ведет к тому, что среда запуска приложения становится более безопасной, чем в случае отсутствия постоянных обновлений. Кстати, исправления, связанные с безопасностью, обычно так и помечаются в истории версий в магазине приложений. Так что этот момент также можно проконтролировать самостоятельно.
Доверяйте, но проверяйте
Понятно, что сама возможность оценить уровень безопасности приложения доступна не всегда и далеко не каждому рядовому их пользователю. Однако постараться сделать это нужно, а главное, возможно (до некоторой степени). При этом не стоит излишне доверять громким заявлениям банков о безопасности и надежности их сервисов. Как банально ни звучит, лозунг «доверяй, но проверяй» стоит взять на вооружение во всех смыслах. И всегда использовать возможности для проверки приложений, их сравнения, в том числе пользуясь открытыми источниками.
И конечно же, необходимо соблюдать ряд мер, повышающих безопасность самого мобильного телефона. Например, не подключаться к общедоступным Wi-Fi-сетям, не устанавливать приложения из недостоверных источников, не открывать подозрительные письма и ссылки, не сообщать по телефону свои пользовательские данные (логины, пароли, одноразовые пароли из СМС, коды CVV и номера карт) и т. д. Причем эти правила не являются чем-то выходящим за пределы здравого смысла и логики. Кстати, многие из этих рекомендаций относятся не только к мобильному банкингу, но и к обычному интернет-банку.
Тимур ЮНУСОВ, руководитель отдела безопасности банковских систем Positive Technologies, для Banki.ru
Комментарии
Это типа совет по безопасности
Мы тут интересную прогу нашли: разрешите на своем устройстве установку из произвольных источников, скачайте некий apk файл и установите себе.
Осталось добавить еще один совет:
Не забудьте, если вас перекинуло на сайт онлайнказино и там выскочил баннер: компьютер заражен. Вылечить. Надо обязательно нажать и установить программу с правами администратора.
фейспалм
Их содержание должно быть очень коротким:
"Никогда и ни при каких условиях не устанавливайте мобильных приложений на смартфоны, если не хотите потерять деньги!!!" - Вот и вся статья.
Причем именно НЕ УСТАНАВЛИВАЙТЕ, а не просто НЕ ПОЛЬЗУЙТЕСЬ.
В прошлом году у приличного количества пользователей СБ хакеры украли большую сумму. Даже тем, уто в первый же день сообщил СБ об этом, вопреки всем законам СБ денег не вернул. Только ответил, что - у вас стояли на смартфонах приложения для мобильных транзакций, видимо вы не обеспечили достаточную безопасность или защиту ваших смартфонов, за что ответственность несет пользователь! Родственница в обращении написала, что не пользовалась стоявшей на смартфоне программой, и что при снятии денег ей на смартфон пришло сообщение с кодом, после которого она и обнаружив кражу сразу обратилась в СБ. Ответ один - раз на смартфоне стояло приложение, то это уже ваши проблемы, вы не обеспечили защиту смартфона.
То есть наличие программы для СБ - это абсолютное основание для отказа, не смотря на то, что 1. приложением не пользовались, 2. на смартфон пришло сообщение с кодом, что свидетельствует о том, что не за счет смартфона украдено (ибо тот вирус, которым тогда было все осуществлено блокировал приход смс на смартфон пользователя), и тем не менее именно наличие приложения было основание для отказа возврата украденных денег, хотя по закону в случае сообщения в первый день банк должен сначала вернуть деньги а потом разбираться.
Всю эту историю можно почитать в ресурсах интернета. И переписку и мат. Кстати, тогда же при рекламе в Сбербанке этих приложений, рекламировавшему консультанту прилюдно был задан этот вопрос с описанием ситуации,
он после вопроса просто ушел в служебное помещение без комментариев.
Так что если чешутся руки что-то написать, то для разнообразия к единственно возможному тексту в такой статье (см. выше) можно еще добавить - "...если вам не безразличны средства на ваших счетах. Если ищете острых ощущений, хотите сыграть в русскую рулетку с собственными средствами, попробуйте мобильные приложения и лучше у сбербанка..."
Привязка к комбинации SIM/IMEI
Аппаратная привязка устанавливает дополнительный уровень защиты от подмены устройства (IMEI) и мошеннического перевыпуска SIM-карточки с тем же номером телефона. Должна присутствовать в мобильном банке, по умолчанию может не подключаться (на усмотрение клиента). Для тех, кто сразу снимает наличные с зарплатной карты или часто меняет дешёвые телефоны, такая привязка может показаться больше неудобством, чем защитой, но для держателей крупных вкладов она важна. При смене SIM-карточки или телефона клиент должен будет обратиться в отделение банка (так же, как при смене мобильного номера) и подтвердить, что новое устройство принадлежит лично ему. Например, принять SMS с кодом и сообщить его сотруднику банка для активации. Разумеется, о возможности аппаратной привязки банк должен сообщать открыто, без необходимости всяких экспериментов с SIM.
Ограничение доступа к счетам
Этот уровень защиты предполагает, что клиент имеет возможность скрыть часть счетов из мобильного банка, интернет-банка или доступа через банкомат. Например, зарплатный счёт и счёт банковской карты, на которых не хранятся крупные суммы, могут быть видны в мобильном банке, и любые операции по ним возможны. А доступ к крупному вкладу может быть закрыт в мобильном банке и банкомате, тогда при краже телефона или банковской карты вместе с PIN-кодом злоумышленники не только не смогут добраться к этому счёту, но и узнать о его существовании. В интернет-банке можно выставить другой уровень ограничения, переведя вклад в режим "только для просмотра" (например, чтобы отслеживать капитализацию процентов) или "только для пополнения". Дистанционно закрыть вклад или снять с него часть средств будет невозможно, необходим личный визит в отделение банка.
Ограничения на установку мобильного приложения и сброс пароля
Обычно мобильное приложение не предполагает привязки к конкретному устройству, например, клиент может поставить его на планшет с другим телефонным номером, в отличие от номера для подтверждения операций по SMS, или на устройство вообще без доступа к телефонной сети (только Wi-Fi). Можно иметь несколько приложений на разных личных устройствах. Однако клиент должен иметь возможность заблокировать подключение новых устройств к мобильному банку со своим логином и паролем. Тогда злоумышленник не сможет зарегистрировать свой экземпляр мобильного банка, даже зная номер карты или телефона, необходимый для регистрации. По умолчанию эта защита может не устанавливаться, но быть доступной для клиента. Аналогичная ситуация с дистанционным восстановлением или сбросом пароля: запрет предполагает, что клиенту, если он забудет пароль, придётся обратиться в банк и получить одноразовый пароль от сотрудника. Вместе с тем сервис восстановления пароля будет недоступен для злоумышленника.