Питерская компания Digital Security, работающая в сфере аудита информационной безопасности, опубликовала отчет о безопасности банковских мобильных приложений. Интересным результатом исследования стало отсутствие большинства крупных розничных банков в Топ-10 приложений с наименьшим числом угроз. Лидерами по безопасности среди приложений для iOS исследование назвало в порядке убывания: СИАБ, Мастер-Банк, Финансовая группа «Лайф» (по 10 баллов); Банк24.ру, Росевробанк (по 6 баллов); банк БФА, банк «Народный кредит», Сбербанк (по 4 балла); МТС-Банк и банк «Cанкт-Петербург» (по 3 балла). Топ-приложений для Android составили СИАБ (10 баллов); банк «Cанкт-Петербург», МТС-Банк (по 9 баллов); ФБИиР, Росевробанк (по 8 баллов); Московский кредитный банк, Примсоцбанк, «Русский Стандарт», МДМ-Банк и Инвестбанк (по 7 баллов). Таким образом, СИАБ, банк «Cанкт-Петербург», МТС-Банк и Росевробанк сумели войти в топ безопасности как для iOS, так и для Android. Как пишут авторы документа, при составлении отчета ими были проанализированы мобильные приложения не менее 37 банков, включая, в частности, Альфа-банк, Росбанк, Сбербанк, «ВТБ 24» (37 поименованных банков и несколько в категории «другие»). Исследование проводилось только в отношении приложений, использующих для соединения с сервером интернет-соединение (TCP/IP), а не SMS и не USSD каналы. Для анализа банковских мобильных приложений в Digital Security проводили статический анализ кода приложений с помощью инструмента собственной разработки (автоматический реверс-инжиниринг). Специалисты Digital Security составляли рейтинг для двух распространенных мобильных платформ - iOS и Android, начисляя приложениям по 1 баллу за наличие в них защитных механизмов (и отсутствие небезопасных API) и вычитая по 1 баллу в обратных случаях. Среди потенциальных угроз банковским приложениям, работающим на iOS, учитывались некорректная работа с SSL (в 35% приложений) использование базы данных SQLite, что подразумевает подверженность SQL-инъекциям (22%), использование межсайтового скриптинга (70%), применение хранилища данных Keychain, подверженность XXE-атакам (45%), использование общего системного лога (NSLog), использование скриншотов, системного буфера обмена и автокоррекции текста и наличие в готовом приложении отладочной информации, позволяющей злоумышленнику составить представление о его работе и уязвимостях. Для Android-приложений угрозами были названы соединения без использования SSL, некорректные проверки SSL-сертификата (в 15% приложений), использование межсайтового скриптинга (20%), использование межпроцессного взаимодействия (обмена данными между приложениями - 22%), использование критичной информации (в частности, IMEI телефона), открытие файлов с общими правами доступа, уязвимость для XXE-атак и подверженность SQL-инъекциям при использовании баз данных SQLi. Хотя бы одну уязвимость содержит каждое из изученных приложений, отмечают исследователи.
Подробности