Банковские мобильные приложения содержат уязвимости, которые могут привести к утечкам данных клиентов, несанкционированному доступу к приложению и проведению мошеннических операций, а также к краже денежных средств. К такому выводу пришли специалисты Positive Technologies, которые проанализировали уязвимости и угрозы мобильных банков. С исследованием компании ознакомился РБК.
Специалисты выявили уязвимости как в клиентских частях мобильного банка (установленное на устройство пользователя приложение), так и в серверных частях (веб-приложение, которое находится на стороне банка и взаимодействует с приложением клиента через интернет).
Что изучали
Для исследования было выбрано 14 полнофункциональных банковских мобильных приложений для Android и iOS, которые принадлежат семи банкам из топ-50 крупнейших кредитных организаций по величине активов. Каждое из анализируемых приложений скачано из официальных магазинов Google Play и AppStore не менее 500 тыс. раз. Общее число скачиваний всех этих приложений превышает 10 млн.
Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера. Каждое приложение содержит в своем коде как минимум три уязвимости, с помощью которых мошенники могут получить доступ к внутренней инфраструктуре банка.
- Только один мобильный банк из исследованных не содержал уязвимостей, позволяющих злоумышленнику получить доступ к данным пользователя: например, к выписке по карте, пин-кодам для быстрого доступа в приложение, учетным данным (логин/пароль) и т.п. При этом 43% приложений хранят эти данные в открытом виде, что упрощает доступ злоумышленников.
- 76% уязвимостей злоумышленники могут использовать без физического доступа к устройству — для этого достаточно установить на телефон жертвы вредоносное приложение, например, в ходе рассылки фишинговых писем. В результате мошенники смогут перехватить SMS от банка, а также получить номера банковской карты.
- Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: недостатки в iOS-приложениях были не выше среднего уровня риска, в то время как 29% приложений для Android содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями, — именно она выступает точкой входа в приложение для хакеров.
- Большинство веб-приложений банков (шесть из семи) содержат уязвимости, которые связаны с недостаточными мерами по аутентификации пользователя. Это может привести к несанкционированному доступу злоумышленника к личному кабинету путем подбора пароля. Если ему удастся обойти защиту с помощью одноразового пароля, который высылается в СМС, хакер сможет выполнять различные действия в мобильном банке от имени клиента.
- В пяти из семи серверных частей злоумышленникам доступны учетные записи пользователей мобильных банков: их имена и фамилии, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.
Как банки защищают свои приложения
Банки уделяют повышенное внимание безопасности приложений и регулярно проводят аудит и проверку их защищенности, рассказали РБК в ВТБ, МКБ, Промсвязьбанке, Райффайзенбанке, Тинькофф Банке и «Открытии». При этом основные сценарии мошенничества в России строятся на методах социальной инженерии (психологические методы выманивания у граждан необходимых мошенникам сведений), поэтому мошенникам даже не требуется искать и эксплуатировать IT-уязвимости приложений — всю необходимую информацию они получают обманным путем у клиентов банков, подчеркнули в ВТБ.
Group-IB регулярно находит уязвимости в банковских приложениях, однако на практике эти «дыры» используются довольно редко из-за того, что злоумышленникам проще и дешевле использовать социальную инженерию, говорит руководитель направления «Аудита и консалтинга» Group-IB Андрей Брызгин. Однако эксперт обращает внимание на то, что банки начали активно просвещать пользователей на тему мошеннических схем с использованием фишинга, звонков с тюремных кол-центров и прочего. Поэтому со временем социнженерия может перестать приносить преступникам финансовую выгоду, и тогда они обратятся к уязвимости приложений.
По данным ЦБ, в 2019 году 69% всех хищений средств с банковских счетов граждан проводилось с использованием социальной инженерии. Всего за прошлый год мошенникам удалось украсть 6,42 млрд руб.
Евгения ЧЕРНЫШОВА
