13:59 08.07.2017 |   3895



Как показало исследование защищенности финансовых приложений, наиболее распространены уязвимости в механизмах идентификации, аутентификации и авторизации.

Доля финансовых приложений, в которых встречаются критически опасные уязвимости, в 2016 году снизилась, однако общий уровень риска выявленных уязвимостей стал значительно выше. Наиболее распространены оказались недостатки механизмов идентификации, аутентификации и авторизации. Такие выводы содержатся в исследовании защищенности финансовых приложений, которое представили эксперты компании Positive Technologies.

Как отмечается в исследовании, популярность электронных финансовых инструментов в России за последний год заметно выросла благодаря развитию бесконтактных систем оплаты: к уже привычным PayPass и payWave присоединились технологии NFC-платежей с помощью смартфонов — Apple Pay и Google Wallet. Однако безопасность общедоступных мобильных и веб-приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений. При этом в случае банковских приложений реализация угроз приводит к серьезным последствиям — включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса.

В 2016 году доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска — на 18%. При этом в продуктивных системах выявлено почти в два раза больше уязвимостей, чем в системах, находящихся в разработке. А финансовые приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем те, которые разработаны банками самостоятельно.

Большинство онлайн-банков (71%) имеют недостатки в реализации двухфакторной аутентификации. 33% приложений онлайн-банков содержат уязвимости, позволяющие украсть деньги, а в 27% приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну.

Что касается мобильных банков, то в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. Банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе.

В отчет также вошла статистика по защищенности автоматизированных банковских систем, которые обычно считаются недоступными для внешнего злоумышленника. Однако на практике две трети уязвимостей, выявленных в АБС, оказались критически опасными — включая такие, которые позволяют получить административный доступ к серверу. Подобный доступ дает возможность злоумышленнику, оставаясь незамеченным, проводить любые мошеннические операции, связанные с деньгами: например, заводить новые счета и указывать на них любое количество денег, или же подменять платежные поручения, отправляемые в ЦБ.

Злоумышленники все активнее используют подобные возможности для атак на финансовый сектор, отметили аналитики Positive Technologies. Однако большинства недостатков защиты можно избежать еще на этапе проектирования приложений, если учесть все нюансы, связанные с реализацией механизмов аутентификации и авторизации. Значительное количество уязвимостей может быть выявлено на стадии разработки, если придерживаться практик безопасной разработки и регулярно проводить анализ защищенности приложений. Как показывает практика, наиболее эффективным методом выявления уязвимостей веб-приложения является анализ его исходного кода, в том числе автоматизированными средствами.


Теги: Информационная безопасность Уязвимости Онлайн-банкинг Positive Technologies
На ту же тему: