Каждое второе банковское приложение имеет уязвимость, через которую злоумышленники могут украсть денежные средства пользователя, говорится в исследовании компании Positive Technologies.
Для исследования были выбраны 14 полнофункциональных банковских мобильных приложений, которые подходят для обеих операционных систем — Android и iOS, и были скачаны более 500 тысяч раз из официальных магазинов приложений Google Play и App Store.
"Резюме: ни одно из исследованных мобильных банковских приложений не обладает приемлемым уровнем защищенности… В каждом втором мобильном банке возможны проведение мошеннических операций и кража денежных средств. В пяти из семи приложений под угрозой логины и пароли от личных кабинетов пользователей, а в каждом третьем приложении могут быть украдены данные банковских карт", — говорится в исследовании.
"В 13 из 14 клиентских частей (приложений для пользователей — ред.) возможен доступ к данным пользователей. 76% уязвимостей в мобильных банках могут быть проэксплуатированы без физического доступа к устройству", — сообщают эксперты. Для использования ряда уязвимостей в клиентских частях мобильных банков злоумышленнику достаточно установить на устройство жертвы вредоносное ПО, например, в ходе фишинговой атаки.
Исследование показало, что клиентские части приложений для iOS содержали меньше уязвимостей, чем приложения для Android. "Но это не значит, что разработчики iOS-приложений не могут допустить ошибки", — отмечают эксперты.
Специалисты разработали тестовые сценарии и продемонстрировали перехват SMS, а также получение номера банковской карты через манипуляции со сканированием банковской карты камерой или через NFC. "Злоумышленник может отобразить мошенническую страницу в интерфейсе мобильного приложения и попросить пользователя отсканировать банковскую карту. Для пользователя это будет выглядеть как работа с его обычным мобильным банком, но на самом деле данные получит злоумышленник, а не банк", — предупреждают они.
Эксперты советуют пользователям установить пин-код для разблокировки устройства, чтобы ограничить возможности злоумышленников при физическом доступе, а также не переходить по ссылкам от незнакомых людей в SMS и мессенджерах. "Никогда не подтверждайте запросы на установку сторонних программ на ваш смартфон. Загрузку приложений осуществляйте только из официальных магазинов приложений Google Play и App Store. Обращайте внимание на информацию о разработчике приложения и количество скачиваний. Своевременно устанавливайте обновления ОС и мобильных приложений", — рекомендуют они.
Источник: audit-it.ru