Центр анализа и расследования кибератак провел анализ защищенности мобильных приложений банков второго уровня в Казахстане, сообщает 365Info.kz со ссылкой на пресс-службу ЦАРКА.
Исследователи применили комбинированный подход, включающий как ручной анализ, так и автоматизированное сканирование. Это позволило выявить и классифицировать 20 уязвимостей по четырем категориям в системах безопасности 11 ведущих банков Казахстана.
При этом одной из наиболее распространенных проблем стала небезопасная практика хранения так называемых чувствительных данных. Более половины банковских систем хранят их в приватном файле внутри директории приложения.
Часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется.
Однако для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей.
Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает очень критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денег клиента, – заявили аналитики центра.
У банков есть возможность исправить недочеты, однако в некоторых случаях проблемы не решаются, подчеркнул глава ЦАРКА Олжас Сатиев. По его словам, благодаря введению требований по подключению к платформам легального поиска уязвимостей, безопасность приложений исследуется регулярно.
Однако он добавил, что в стране еще предстоит провести не только практическую работу, но и сменить парадигму мышления организаций по предоставлению публичной информации об утечках и уязвимостях.