БЕЗОПАСНОСТЬ МОБИЛЬНЫХ БАНКОВСКИХ ПРИЛОЖЕНИЙ

Существует мнение, что мобильный банкинг сегодня не заслуживает к себе такого внимания, как, к примеру, системы дистанционного обслуживания. В данном случае ключевым аргументом является то, что через системы мобильного банкинга проходит мало финансовых средств. Отсюда заключение что злоумышленникам мобильный банкинг попросту не интересен.

Рисунок 1 Эволюция банковского обслуживания

Однако можно выделить ряд причин, исходя из которых данным сегмент кажется очень привлекательным для рассмотрения.

Во первых — злоумышленникам не важно, какие и в каком количестве совершаются транзакции для мобильного банкинга. Даже если пользователи используют свой счет лишь для оплаты услуг оператора связи. Важно то, что используя уязвимости приложения злоумыленник может получить доступ к счету, на котором хранятся деньги клиента.

Во вторых — глупо говорить, что мобильный банкинг может не стать популярным в России. Число мобильных устройств лишь увеличивается, а сам по себе мобильный банкинг — это удобно.

Проблемы мобильного банкинга:

1. Избыточность

Представьте приложение для мобильного банка, работающее с персональными счетами, деньгами. Вдруг в нем обнаруживается код, отвечающий за работу с сервисами файлов, социальными сетями, заметками. Производителями это объяснятся желанием лучше продавать свое приложение, которое наделено уникальными чертами. Одна с ростом функционала растет и сложность приложения, а вместе с тем вероятность допустить ошибку становится выше.

2. Хранение данных.

Одна из самых важных проблем. Мобильные устройства являются носителем критичной информации в открытом виде. Она либо просто хранится в приложении, либо валится в кеш сетевых запросов, логи, скриншоты. Имея физический доступ к устройству злоумышленник может просто скачать эти критичные файлы.

3. Работа в недоверенной среде.

Зачастую пользователи сами ставят свои устройства под угрозу получая root — доступ на Android или устанавливая JaildBreak на iOS. Наравне с получением дополнительных возможностей, увеличивается вероятность заражения устройства вредоносным кодом. Кстати, к примеру, приложение Сбербанк Онлайн на iOS ограничивает свой функционал при обнаружении на устройстве JailBreak.

4. Распространение приложений.

Данная проблема актуальна для операционных систем с множеством магазинов приложений. В первую очередь это, конечно же, Android. К примеру можно встретить магазины приложений Google Play, Samsung Apps, Yandex market, Slide me и д.р.

Мобильный банкинг на сегодняшний день распространен на двух операционных системах — Android и iOS. Именно они имеют наибольшее количество приложений в своих магазинах (Play Market и App Store соответственно) Так же стоит отметить и Windows Phone. Система молода и имеет небольшое количество приложений (в Windows Store их всего 9).

Согласно результатам исследований проведенных в Digital Security (одна из ведущих российских компаний в области информационной безопасности) 15 % мобильных банков для Android и 30% мобильных банков для iOS имеют уязвимости, связанные с некорректной работой SSL. Отсюда вытекает возможность перехвата платежных данных. 22% приложений для iOS потенциально уязвимы к SQL — инъекции. Возникает риск кражи всей информации путем отправки нескольких несложных запросов. XSS — одна из самых популярных атак. К ней потенциально уязвимы порядка 70% приложений для iOS и 20% приложений для Android.

Проведенное исследование показывает, что мобильные банки содержат уязвимости и недостатки, потенциально приводящие к хищению денежных средств. В большинстве случаев уровень защиты мобильных банков не превышает уровня защиты обычного мобильного приложения. Так же стоит отметить различные пути проведения атаки у злоумышленника. Возможная выгода может заметно превышать затраты на проведение атаки.

Сократить риск могут современные средства защиты — антивирусы, MDM — решения. Однако они не решают весь спектр проблем. Специалисты по ИБ банков должны уделять безопасности мобильных банков не меньше внимания, чем безопасности интернет-банков.

Аналогичное исследование, касательно безопасности мобильных банков, провел Николай Носов - член Ассоциации руководителей служб информационной безопасности (АРСИБ).

Была выбрана платформа Android — как самая популярная в России для мобильных устройств. И, кстати, именно она вызывает больше опасений с точки зрения информационной безопасности (в сравнении с iOS).

Анализу подлежали приложения с Google Play которые обрабатывали счета клиентов действующих на российском рынке банков. На момент исследования были найдены приложения 68 российских банков. Почти во всех приложениях были выявлены проблемы, которые потенциально могут быть использованы злоумышленниками. Данные проблемы имеют разную степень критичности. Обобщенно можно выделить три группы.

Третья группа наиболее опасна для мобильных банковских приложений. Если Вы в общественном месте запускаете свое приложение через общественный Wi-Fi, то сидящий за соседним столиком злоумышленник может перехватить Ваш трафик и украсть пароли и данные Ваших банковских карт. Такая ситуация возможна в том случае, если приложение не проверяет подлинность сайта банка. Данная атака называется «Человек посередине».

Вторая группа более защищенная. Атака описанная ранее уже не проходит. Однако остается возможность для троянов, которые просто перехватывают на компьютере данные, которые могут вызывать у злоумышленника определенный интерес.

В завершении — первая группа - приложения с незначительными потенциальными проблемами информационной безопасности.

Подводя итоги: полностью полагаться на разработчиков мобильных банковских приложений не стоит. С целью обеспечения максимальной безопасности рекомендуется использовать антивирус и регулярно его обновлять. Он поможет защититься от троянских программ. Если банк будет присылать Вам SMS — сообщение при выполнении какой либо операции — это поможет остановить или исключить процесс списания денег злоумышленником. Так же рекомендуется скачивать приложение с официального сайта банка и регулярно его обновлять.

Не стоит использовать свое приложение в общественных местах, где возможна атака «Человек посередине». Как показали исследования даже крупнейшие банки не всегда проверяют свои приложения на вероятность подобных атак.

Список литературы:

1. Анализ безопасности мобильных банковских приложений 2012/ [Электронный ресурс] - Режим доступа. - URL: http://www.plusworld.ru/knowledgebase/cat_issledovaniya/analiz-bezopasnosti-mobilnykh-bankovskikh-prilozheniy-2012/
2. Безопасность Мобильного банка – риски кражи/ [Электронный ресурс ] - Режим доступа. - URL: http://www.mobilebanking-sberbank.ru/blog/bezopasnost_mobilnogo_banka/2014-01-08-1
3. Безопасность мобильных банковских приложений/ [Электронный ресурс ] - Режим доступа. - URL: http://www.iemag.ru/analitics/detail.php?ID=36497
4. Безопасность мобильных банковских приложений/ [Электронный ресурс ] - Режим доступа. - URL: http://dsec.ru/news/press-about-us/security_of_mobile_banking_applications/
5. Можно ли украсть деньги из мобильного банкинга?/[Электронный ресурс ] - Режим доступа. - URL: https://habrahabr.ru/company/dsec/blog/22937