791
Лаборатория Approov обнаружила критичные уязвимости в наиболее популярных финтех-приложениях
Лаборатория Approov по исследованию мобильных угроз загрузила, расшифровала и просканировала 200 самых популярных приложений финансовых услуг в США, Великобритании, Франции и Германии из магазина Google Play, изучив в общей сложности 650 уникальных приложений. В 92% приложений произошла утечка пригодных для использования конфиденциальных данных клиентов, а в 23% приложений имела место утечка секретной информации чрезвычайной важности.
Помимо возможности моментального раскрытия секретной информации сканирование также выявило два критичных направления возможных атак во время работы приложения, которые можно было использовать для кражи ключей API. Только 5% исследованных приложений были хорошо защищены от атак, манипулирующих средой устройства, и только 4 % – от атак типа Man-in-the-Middle.
«Неужели мы все невольно стали бета-тестерами приложений для финансовых услуг? Не ставит ли это под угрозу наши личные финансы? Постоянные новости о взломах, похоже, указывают на то, что это так, и это абсолютно неприемлемо!» заявил генеральный директор Approov Тед Миракко (Ted Miracco).
«Это исследование показывает, что жесткое встраивание конфиденциальных данных в мобильных приложениях широко распространено и представляет собой серьезную проблему, поскольку секретную информацию можно легко извлечь. Посредством простого автоматического сканирования любой злоумышленник может увидеть, насколько хорошо защищены приложения во время своей работы. К сожалению, финансовые приложения не оправдывают ожиданий», — добавил Миракко.
В числе других выводов, сделанных в результате исследования:
Ни одно из 650 приложений не прошло проверку на защиту от всех трех видов атак, охваченных исследованием. Все приложения провалились как минимум в одной категории.
Только четыре приложения имели защиту от Man-in-the-Middle и man-in-the-device атак на каналы. Все они были приложениями для платежей и переводов, и ни одно из них не было приложением, используемым в США.
В целом приложения, развернутые в Европе, были лучше защищены, чем приложения, доступные только в США, в плане немедленного раскрытия секретных данных и защиты. Это может быть связано с более строгими правилами конфиденциальности в Европе и большим вниманием к безопасности в этом регионе.
Криптовалютные приложения с большей вероятностью допускали утечку конфиденциальных данных, поскольку 36% из них сразу выдавали при сканировании такие данные.
При этом всего 18% приложений для личных финансов допустили утечку конфиденциальной информации, возможно, потому, что они меньше зависят от уязвимости API.
