ENG«Увести» деньги можно из каждого третьего финансового приложения, делающего доступными услуги онлайн-банкинга, говорится в новом исследовании российской компании Positive Technologies. Уровень безопасности финансовых приложений по-прежнему остается низким, при этом больше всего уязвимостей приходится на онлайн-банки, а вот мобильные банки и автоматизированные банковские системы защищены все же несколько лучше.
Результаты исследования от экспертов Positive Technologies выглядят, казалось бы, обнадеживающе — например, уязвимость финансовых приложений по итогам 2016 года все-таки снизилась. Если в 2015 году на одно приложение приходилось 8,9 уязвимостей, то теперь их число снизилось до 6,2 (речь идет о средних значениях). Однако не вполне очевидно, что это успех — ведь уровень риска у выявленных уязвимостей стал куда более высоким, если не сказать критичным. Например, доля критически опасных уязвимостей увеличилась на 8%, а доля уязвимостей среднего уровня риска выросла и вовсе сразу на 18%. Главными проблемами, которые удалось выявить в 2016 году, стали недостатки механизмов идентификации, аутентификации и авторизации.
Что касается онлайн-банков, то, если верить экспертам компании, почти все из исследованных продуктов содержали хотя бы одну уязвимость с критически высоким уровнем опасности. В среднем же на каждый онлайн-банк пришлось по 2,1 уязвимости высокого уровня риска. Правда, по сравнению с предыдущим годом их число снизилось вдвое.
«Большинство онлайн-банков (71%) имеют недостатки в реализации двухфакторной аутентификации. 33% приложений онлайн-банков содержат уязвимости, которые позволяют попросту украсть деньги, а 27% приложений позволят злоумышленнику получить доступ к сведениям, составляющим банковскую тайну», — говорится в исследовании.
В случае с мобильными банками ситуация выглядит более обнадеживающе. Так, только в 64% проанализированных продуктов была выявлена хотя бы одна критически опасная уязвимость. Более защищенно могут чувствовать себя пользователи iOS-приложений; а вот аналоги для Android им проигрывают. Но даже в этой ситуации в каждом третьем приложении «мобильный банк» можно перехватить или подобрать учетные данные для доступа. Совсем уж критично ситуация складывается для серверных частей данных продуктов, которые, как оказалось, защищены значительно хуже клиентских «участков».
«В 32% рассмотренных мобильных банках эксплуатация выявленных уязвимостей позволяла злоумышленникам расшифровать, перехватить, подобрать учетные данные для доступа в приложение или обойти процесс аутентификации», — говорится в исследовании Positive Technologies.
В результате злоумышленники попросту получают доступ к приложению от лица легитимного пользователя и ничем не ограничены в совершении любых финопераций.
Статистика тем более настораживающая, что в России популярность электронных финансовых инструментов только растет. Главным образом это связано с все большим распространением бесконтактных систем оплаты — сегодня пользователи могут выбирать не только между PayPass или PayWave, но и задействовать технологии NFC-платежей в Apple Pay и Google Wallet.
Интересно, что финансовые приложения, разработанные вендорами, на проверку оказались более уязвимыми по сравнению с продуктами, которые разрабатывают сами банки. Так, в приложениях вендоров в среднем было выявлено почти 11 уязвимостей, в собственных приложениях банков — около 5. Не слишком оперативны вендоры и в устранении уязвимостей — банки в данном случае показывают лучшие результаты.
Под вопрос эксперты компании поставили и традиционно считавшуюся неуязвимой защиту автоматизированных банковских систем (АБС). И речь идет не только о выявлении уязвимостей. По данным Positive Technologies, две трети из них оказались критически опасными. Они открывали злоумышленникам административный доступ к серверу, позволяя проводить любые мошеннические финоперации — и речь идет не только об открытии новых счетов с любыми суммами денег, но даже о подмене платежных поручений, отправляемых в Центробанк.
В начале 2016 года сразу два российских банка понесли серьезный ущерб от атак на АБС, в общей сложности составивший более 1 млрд рублей, напоминают в Positive Technologies (речь идет о «Русском международном банке» и «Металлинвестбанке»).
«Злоумышленники все активнее используют данные возможности для атак на финансовый сектор», — отмечает руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин.
При этом, по его словам, большинства недостатков защиты можно было бы попросту избежать, если учитывать нюансы реализации механизмов аутентификации и авторизации при проектировании.
«Значительное количество уязвимостей может быть выявлено на стадии разработки, если придерживаться практик безопасной разработки (SSDLC) и регулярно проводить анализ защищенности приложений. Наиболее действенным методом обнаружения уязвимостей web-приложения является анализ исходного кода», — уточняет Гнедин.
Автор: Ольга Блинова
