Тест мобильных приложений от 30 российских банков показал уязвимости
Все приложения российских банков содержат хотя бы одну уязвимость, позволяющую либо перехватить данные между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого приложения…
Компания Digital Security опубликовала результаты тестирования мобильных платёжных приложений от более 30 российских банков, перечисленных ниже.
Тестирование безопасности приложений продолжалось около года с использованием статического анализа кода клиентской части (мобильного приложения) методом чёрного ящика.
Как выяснилось, разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате, все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения. Вот некоторые результаты:
35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL.
22% приложений для iOS потенциально уязвимы к SQL-инъекции.
70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS.
45% приложений для iOS потенциально уязвимы к XXE-атакам.
Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия.
По результатам тестирования специалисты Digital Security составили список рекомендаций для разработчиков мобильных банковских приложений:
Осведомлять программистов по вопросам безопасности.
Закладывать безопасность в архитектуру.
Проводить аудит кода.
Проводить анализ защищённости приложения.
Применять параметры компилятора, связанные с безопасностью.
Контролировать распространение приложения в интернете.
Быстро закрывать уязвимости и выпускать обновления.
