Каждое второе мобильное приложение для финансов содержит уязвимость критического или высокого уровня
Эксперты компании «Стингрей Технолоджиз» (входит в ГК «Swordfish Security») провели исследование защищенности российских мобильных приложений, более половины которых или 56 процентов содержат уязвимости критического или высокого уровня. В финансовом секторе, наиболее привлекательном для хакеров, этот показатель составляет 49 процентов.
Полный текст исследования доступен на сайте компании https://mobile-stingray.ru/research/security-analysis.
«С одной стороны, это может быть связано с желанием разработчиков как можно скорее загрузить приложение на Apple App Store и Google Play, пока его не удалили. С другой – ставка делается на безопасность серверной части, что, к сожалению, не является гарантией от всего спектра киберугроз», - говорит Юрий Шабалин, Генеральный Директор “Стингрей Технолоджиз”.
Например, в ходе оценки защищенности было обнаружено хранении незащищенного паролем приватного ключа в ресурсах самого приложения. Если злоумышленник получает доступ к такому закрытому ключу, то у него появляется возможность расшифровки всех пользовательских данных. Более того используя один ключ для нескольких приложений, в зону риска попадают вообще любые данные.
В 36 приложениях финансового сектора была выявлена небезопасная конфигурация сетевого взаимодействия, а это уязвимость высокого уровня критичности. Подобные проблемы приводят к значительному ослаблению защиты передаваемой информации, перехвату траффика и получению контроля над пользовательскими данными. Также, некорректная настройка конфигурации помогает злоумышленникам в уже более сложных, таргетированных атаках.
В 18 случаях установлено, что приложения разрешают сетевые соединения по протоколу HTTP, то есть по незащищенному протоколу, что также сильно упрощает перехват траффика.
Хранение чувствительной информации в исходном коде приложения – распространенная проблема. В 6 случаях эксперты «Стингрей Технолоджиз» отнесли ее к уязвимостям высокого уровня критичности и еще в 97 – к низкому. То есть встретить финансовое приложение без такой «проблемы» довольно сложно. Многие ошибочно полагают, что данные, «зашитые» в исходном коде приложения, защищены и недоступны. Однако продвинутые злоумышленники могут декомпилировать приложение. А значит, чувствительная информация, расположенная в исходном коде, будет доступна для всех желающих.
Любопытно, что, несмотря на хайп вокруг темы шифрования далеко не все разработчики банковских мобильных приложений уделяют ей должное внимание. В частности, «Стингрей Технолоджиз» выявил 66 случаев применения слабого или устаревшего механизма шифрования. И еще 41 случай использования данных пользователя для генерации ключа шифрования с использованием некорректных параметров – все это уязвимости среднего уровня критичности, однако и к ним стоит относиться всерьез.
По данным исследования, 61 приложение не проходит проверку на запуск на эмуляторе. Это уязвимость среднего уровня критичности, потому что злоумышленники как раз умеют и любят использовать эмуляторы. Как это работает? Системные программы (эмуляторы) «притворяются» пользовательскими устройствами, и злоумышленники получают полный доступ к приложению, возможность детально изучить специфику его работы для эксплуатации дальнейших, уже более сложных атак.
«Защищенность мобильных приложений является одним из наиболее важных векторов развития общей киберустойчивости всех цифровых сервисов. Эти риски нельзя компенсировать на серверном уровне. Если перефразировать известную поговорку, то, где тонко, там и атакуют», - говорит Юрий Шабалин.
Конечно, пользователь не может самостоятельно определить, уязвимо приложение или нет. Но в любом случае нужно соблюдать простые, но эффективные правила. Специалисты компании «Стингрей Технолоджиз» рекомендуют:
- Обязательно установить пин-код и биометрическую аутентификацию на устройстве. Это позволит избежать компрометации данных в случае утери или кражи. При этом, не стоит ставить в качестве пароля простые комбинации или памятные даты, их подбирают в первую очередь.
- Несмотря на текущую ситуацию, по-прежнему не стоит скачивать приложения из неизвестных источников. Для Android-приложений стоит рассмотреть российские магазины приложений. В случае iOS-устройств, рекомендуется пока что использовать Web-версии приложений или PWA.
Везде, где это возможно, подключайте двухфакторную аутентификацию, это может помочь в случае утечек ваших данных.
похожие материалы
Исследователи предупредили о новой фишинговой кампании, нацеленной на клиентов сервиса
Производитель популярного менеджера паролей LastPass сообщил о новой волне фишинговых атак, направленных на пользователей его сервиса.
Исследователи проанализировали более 1 млрд украденных паролей
Компания Outpost24 опубликовала обновлённый отчёт Breached Passwords Report, основанный на анализе более 1 млрд скомпрометированных паролей, собранных из утечек данных и с помощью инфостиллеров.
Исследователи обнаружила новый модульный бэкдор ShadowRelay в инфраструктуре госсектора
Специалисты центра исследования киберугроз Solar 4RAYS выявили ранее неизвестный модульный бэкдор под названием ShadowRelay, который был обнаружен в инфраструктуре одной из организаций государственного сектора.
В РФ ИИ-технологии используют лишь около 10% компаний
Исследование компании Artezio совместно с Comindware и ассоциациями «Руссофт» и BPM-профессионалов фиксирует характерный для российского рынка «ИИ-парадокс»: бизнес признаёт стратегическую важность искусственного интеллекта, но не спешит переходить к внедрению.
Минцифры РФ создало рабочую группу для борьбы с противоправным использованием дипфейков
Министерство цифрового развития, связи и массовых коммуникаций России сформировало межведомственную рабочую группу, целью которой станет противодействие незаконному использованию технологий типа дипфейк.
AMD выпустила критическое обновление безопасности для процессоров и платформ
Компания AMD опубликовала новый бюллетень безопасности, в котором описаны несколько важных уязвимостей, затрагивающих процессоры и платформы AMD.
Эксперты фиксируют, что злоумышленники все чаще используют резидентные прокси
Владельцы сетей резидентных прокси используют IP-адреса, выданные пользователям интернет-провайдерами и перепродают к ним доступ злоумышленникам.
Фишинг через календарь: как Google Gemini можно использовать для атак
Исследователи по безопасности из компании Miggo рассказали о необычном способе эксплуатации уязвимости, который злоумышленники могут использовать для распространения фишинга и вредоносных ссылок - через пригласительные события в календаре, инициированные ИИ-ассистентом Google Gemini.
Группа Everest заявила о крупной атаке на McDonald’s и похищении почти 1 ТБ данных
Крупная вымогательская группировка Everest ransomware gang, ранее известная по атакам на аэропорты и другие крупные организации, объявила, что стала новым злоумышленником, нацеленным на подразделение McDonald’s в Индии.
Критическая уязвимость в Modular DS Plugin затронула более 40 000 сайтов
Исследователи по безопасности обнаружили критическую уязвимость повышения привилегий в популярном плагине Modular DS Plugin для WordPress, которой уже активно пользуются злоумышленники в реальных атаках.