Переважна більшість мобільних додатків великих фінансових компаній мають проблеми з безпекою, скориставшись якими зловмисники можуть отримати доступ до конфіденційних даних, включаючи банківські облікові дані, показало дослідження, проведене фахівцями компанії Aite Group на замовлення Arxan Technologies.
Дослідники проаналізували 30 розміщених у каталозі Google Play Store додатків, пов’язаних з різними сферами (банківської, мобільними платежами, страхуванням тощо.) І з’ясували, що практично всі з них містять у своєму коді або підпапках важливу інформацію, в тому числі закриті ключі, ключі API і сертифікати, за допомогою яких злочинці можуть отримати доступ до серверів вендора і скомпрометувати дані користувачів.
Згідно зі звітом, 97% проаналізованих додатків не мають захисту від реверс-інжинірингу, дозволяючи легко отримати доступ до вихідного коду за допомогою доступних в Інтернеті інструментів. За словами старшого аналітика Aite Group Аліси Найт (Alissa Knight), в середньому злам додатків займав всього 8,5 хвилин.
Крім того, 90% програм допускали витік інформації, спільно використовуючи сервіси з іншими додатками на пристрої, і тим самим дозволяли іншим додаткам отримувати доступ до фінансових даних.
Як з’ясувалося, 83% додатків зберігають дані в непідконтрольних місцях, наприклад, у локальній файлової системи пристрою, на зовнішніх накопичувачах або копіюють інформацію в буфер обміну, надаючи доступ до неї іншим програмам. Ще однією розповсюдженою проблемою виявилося слабке шифрування – 80% додатків використовували або ненадійні криптоалгоритми, або в них був некоректно реалізований стійкий метод шифрування. При цьому 70% додатків використовували ненадійний генератор випадкових чисел, що дозволяло з легкістю зламати або вгадати значення.
Велика кількість уразливостей є прямою загрозою безпеці фінансових організацій і їх клієнтів, які можуть стати жертвами зламу екаунтів, шахрайства або крадіжки особистих даних, підкреслили дослідники.
Компанія Google повідомила про нові додатки у своїй програмі з безпеки (Application Security Improvement, ASI). ASI – це сервіс з виявлення потенційних проблем з безпекою в додатках, що завантажуються розробниками в Google Play.
До речі, шкідливе програмне забезпечення для викрадення банківських даних знайшли фахівці з кібербезпеки у фірмовому магазині додатків Google Play Маркет.
Нагадаємо, нещодавно виявили “шкідника” Trojan.DownLoad4.11892, який при запуску вивантажує іншу шкідливу програму з метою крадіжки персональних даних власників криптовалют.
Також компанія ESET виявила шкідливе програмне забезпечення для Android, яке маскується під оптимізатор роботи батареї. Троян у лічені секунди знімає кошти з рахунку PayPal і переказує їх шахраям.
