Сергей Никитин: «Интернет-банкинг через смартфон — опасно ли это?»
Фото: Пресс-служба Group-IB

Сергей Никитин: «Интернет-банкинг через смартфон — опасно ли это?»

1398

Все больше людей, подключаясь к системе интернет-банкинга, использует для этого не настольный компьютер или ноутбук, а смартфон. Карманные компьютеры поумнели настолько, что функционально мало отличаются от своих крупногабаритных собратьев. Однако у смартфонов есть одна особенность — на них, в отличие от «больших» компьютеров, не принято ставить антивирусное ПО. Делает ли это смартфоны реально уязвимыми и не опасно ли использовать эти устройства для финансовых операций?

Германская компания G Data Software, специализирующаяся на разработке антивирусов, провела исследование и пришла к выводу, что защищать смартфоны специальным антивирусным ПО не нужно. По данным экспертов G Data, в отличие от лавинообразного роста числа вирусов для обычных ПК количество угроз для мобильных устройств не растет, а снижается. Сегодня на 100 вредоносных программ для смартфона приходится 40 млн традиционных компьютерных вирусов. То есть вероятность подцепить вирус на смартфон в тысячи раз меньше, чем заразить обычный ПК. Но она все же есть.

Специалист по компьютерной криминалистике компании Group-IB (специализируется на расследовании компьютерных преступлений, в том числе мошенничества в сфере дистанционного банковского обслуживания — ДБО) Сергей НИКИТИН рассказал Банки.ру о том, какие угрозы существуют для смартфонов и почему при этом умные телефоны считаются достаточно хорошо защищенными устройствами.

У современных смартфонов и коммуникаторов весьма сложные мобильные ОС. Считается, что три основных лидера — Symbian, Android, IphoneOS (в США еще BlackBerry) обладают хорошими встроенными функциями защиты, в том числе и от вредоносного ПО. Поясню на примерах.

Для ОС Symbian все программы обязаны обладать подписью разработчика. Неподписанные приложения имеют крайне ограниченные права. Разработчики-любители могут получить сертификат для подписи, но тоже с весьма ограниченными правами. Только покупка полного сертификата с отсылкой подписываемого ПО Nokia даст полный доступ к системе. Таким образом, даже по незнанию установить некое вредоносное ПО невозможно, ОС не даст.

В ОС Android у пользователя по умолчанию нет прав уровня root-пользователя. Для Iphone существует AppStore с проверенными приложениями. В действительности, если рассматривать угрозы для смартфонов, фактически нигде нельзя найти реальные образцы вредоносного ПО. В данное время опасность представляют только java-приложения, которые отправляют СМС на платные короткие номера. Причем происходит это с запросом об отправке у пользователя, но многие по привычке соглашаются со всем, что выводит ПО.

Рынок в России немного отличается от мирового. Для Symbian OS есть метод получения полного доступа к системе, для установки неподписанных приложений, для Android — получение root-прав, для Iphone OS — всем известный jailbreak. В мире меньше 1% пользователей задействуют данную возможность, на нашем же рынке — куда больше. В основном это связано с возможностью установки контрафактного ПО, так как рынок лицензионного ПО для смартфонов в России еще весьма мал. Взломанное ПО теряет подпись и может быть установлено только на смартфон с отключенными средствами самозащиты. Очевидно, что в данном случае риски заражения вредоносными ПО возрастают.

Необходимо понять, что крупные компании — разработчики мобильных ОС используют технологии защиты не только ради получения прибыли с разработчиков ПО, но и чтобы обезопасить пользователей и предоставить только проверенное ПО.

Если у смартфона не отключены механизмы защиты, особенного смысла использовать отдельно ПО для защиты нет. С отключенными же неизвестна эффективность данного рода ПО. Реализовать механизмы самозащиты антивирусного или другого защитного ПО на мобильных ОС, которые уже скомпрометированы полным доступом к системе, весьма проблематично.

Необходимо отметить отдельный вид ПО, направленный на защиту конфиденциальной информации. Если смартфон используется как рабочий инструмент, в нем могут содержаться важные данные, в том числе относящиеся к коммерческой тайне. Поэтому устанавливать ПО, позволяющее шифровать данные на смартфоне, вести журналы подключений и журналы звонков, весьма рационально как в личной, так и в корпоративной сфере. Мобильный телефон можно потерять, или он может быть украден, а данные в нем могут обладать стоимостью, во много раз превышающей стоимость самого телефона.

— Каково мнение экспертов о безопасности мобильного банкинга и интернет-банкинга — услуг, которые доступны через смартфон? Есть ли специальные решения для защиты именно этих сервисов?

Здесь необходимо разделить термин «мобильный банкинг» на его непосредственные технологические реализации.

1. Использование браузеров смартфонов для доступа к интернет-банкингу. В данном случае смартфон используется как обычный ПК, у которого есть браузер. Интернет-банкинг в виде «тонкого клиента» существует практически у всех банков, и доступ к системе ДБО можно получить с помощью мобильного браузера телефона. Современные мобильные браузеры уже мало отличаются от своих старших собратьев. Они поддерживают flash, java, ajax. Только браузеры ПК ежедневно исследуются на наличие уязвимостей, а вот о мобильных этого не скажешь. Конечно, отлавливаются и исправляются ошибки, но современный браузер — крайне сложное ПО, и весьма вероятно, что существуют неопубликованные и 0-day уязвимости. Напомню, что jailbreak для IPhone производился с использованием уязвимости в его браузере Safari.

Технологически для смартфонов невозможно применять стандартные методы защиты систем ДБО, такие как защищенные токены, ЭЦП. Применяются, как правило, одноразовые или постоянные пароли. Угрозы с данной стороны весьма реальны.

2. СМС-банкинг. Тут возможно использование даже обычных мобильных телефонов, не смартфонов. Никаких технологий защиты не существует. К тому же возникает множество технологических вопросов, например доверие оператору сотовой связи, СМС-центрам, повторная отправка сообщений, если сообщение состоит из нескольких частей. Так как никакого шифрования для СМС, кроме стандартного для GSM A5\1, не существует, весьма реальна компрометация передаваемой информации. Именно поэтому СМС-банкинг используется большинством банков только для информационных услуг. Но даже в таком случае, например, перехват СМС с информацией об остатке денег на счете конкурента может быть более чем ценен.

Многие банки имеют системы ДБО, позволяющие отправлять одноразовые пароли на мобильные телефоны. Все проблемы, описанные выше, касаются и этого аспекта использования СМС. К тому же потеря телефона требует немедленной блокировки сим-карты, в том числе из соображений безопасности банковского счета.

3. Использование специального ПО для смартфонов. Некоторые банки предлагают установку специальных приложений (или java-апплетов) для доступа к их системам ДБО. Это более защищенный способ, так как при этом могут использоваться подписанные приложения, апплеты. А уж какой функционал нам предоставит разработчик ДБО в плане защиты — зависит уже от него.

Записал Леонид ЧУРИКОВ, Banki.ru