Каждое второе мобильное приложение для финансов содержит уязвимость критического или высокого уровня
56% российских мобильных приложений содержат уязвимости критического или высокого уровня. В финансовом секторе, наиболее привлекательном для хакеров, этот показатель составляет 49%.
Такие результаты показало исследование компании "Стингрей Технолоджиз" (входит в ГК "Swordfish Security"). В ходе оценки защищенности было обнаружено хранении незащищенного паролем приватного ключа в ресурсах самого приложения. Если злоумышленник получает доступ к такому закрытому ключу, то у него появляется возможность расшифровки всех пользовательских данных. Более того используя один ключ для нескольких приложений, в зону риска попадают вообще любые данные.
В 36 приложениях финансового сектора была выявлена небезопасная конфигурация сетевого взаимодействия, а это уязвимость высокого уровня критичности. Подобные проблемы приводят к значительному ослаблению защиты передаваемой информации, перехвату траффика и получению контроля над пользовательскими данными. Также, некорректная настройка конфигурации помогает злоумышленникам в уже более сложных, таргетированных атаках.
В 18 случаях установлено, что приложения разрешают сетевые соединения по протоколу HTTP, то есть по незащищенному протоколу, что также сильно упрощает перехват траффика.
Хранение чувствительной информации в исходном коде приложения — распространенная проблема. В 6 случаях эксперты "Стингрей Технолоджиз" отнесли ее к уязвимостям высокого уровня критичности и еще в 97 — к низкому. То есть встретить финансовое приложение без такой "проблемы" довольно сложно. Многие ошибочно полагают, что данные, "зашитые" в исходном коде приложения, защищены и недоступны. Однако продвинутые злоумышленники могут декомпилировать приложение. А значит, чувствительная информация, расположенная в исходном коде, будет доступна для всех желающих.
Далеко не все разработчики банковских мобильных приложений уделяют должное внимание шифрованию данных.Исследователы выявили 66 случаев применения слабого или устаревшего механизма шифрования. И еще 41 случай использования данных пользователя для генерации ключа шифрования с использованием некорректных параметров — все это уязвимости среднего уровня критичности, однако и к ним стоит относиться всерьез.
По данным исследования, 61 приложение не проходит проверку на запуск на эмуляторе. Это уязвимость среднего уровня критичности, потому что злоумышленники как раз умеют и любят использовать эмуляторы. Как это работает? Системные программы (эмуляторы) "притворяются" пользовательскими устройствами, и злоумышленники получают полный доступ к приложению, возможность детально изучить специфику его работы для эксплуатации дальнейших, уже более сложных атак.