Мобильный банкинг – легкий способ стать жертвой

Идет активное развитие мобильных технологий, современные требования бизнеса таковы, что доступ к информации должен осуществляться быстро, надежно и из любой точки мира. Платежные приложения не являются исключением, и они постепенно появляются на наших смартфонах и планшетах. Мобильные устройства пока еще недостаточно изучены, и каждая мобильная ОС (Android, iOS, Windows Phone, Symbian, BlackBerry и т.п.) имеет свою специфику, поэтому в каждой из них можно обнаружить большое количество как новых уязвимостей, так и хорошо известных.

Исследовательский центр Digital Security представляет общественности результаты тестирования безопасности приложений для мобильного банкинга. Этичные хакеры в течение года препарировали мобильные платежные приложения более  чем от 30 российских банков. «Мы не стоим на месте и стараемся делать сегодня то, что будет востребовано завтра», – говорит Дмитрий Евдокимов, исследователь из Digital Security.

Результаты исследования подтверждают тенденцию, отмеченную экспертами в традиционных ежегодных отчетах по исследовательской работе в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.

Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS – одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.

«У злоумышленников есть множество путей реализации атак. При этом затраты на проведение атаки могут в реальной среде быть весьма низкими по сравнению с возможной выгодой», – предрекают эксперты Digital Security.

«Надеюсь, что результаты этого исследования привлекут внимание банковских CISO к актуальным проблемам безопасности мобильных технологий. Проверка защищенности клиентских приложений методом статического анализа бинарного кода, проведенная нашим исследовательским центром, покрывает в лучшем случае 30% от общего фронта работ по анализу защищенности мобильных приложений, однако серьезные проблемы очевидны уже сейчас. Разработанный нами в процессе исследования внутренний инструмент анализа  кода мы планируем в дальнейшем использовать для повышения качества услуг, которые мы предоставляем клиентам», – говорит директор Digital Security Илья Медведовский.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ShinyHunters слил третью за неделю базу — миллионов клиентов Teespring

Уже известный киберпреступник ShinyHunters, наводящий шороху последние несколько дней, слил очередную базу данных, в которой содержатся сведения миллионов пользователей, зарегистрированных на площадке Teespring. Напомним, что эта компания занимается производством одежды с индивидуальным принтом.

ShinyHunters не стал изменять себе — все данные злоумышленник выложил в открытый доступ на одном из форумов хакерской тематики. База была запакованы в 7zip-архив и представляла собой два SQL-файла.

Первый файл содержал список адресов электронной почты пользователей Teespring, в общей сумме их было 8,2 миллионов. Также там можно было найти дату последнего обновления ящика:

 

Во втором файле содержались сведения более чем о 4,6 миллионах юзеров. Среди них были хешированные адреса электронной почты, имена пользователей, реальные имена, телефонные номера, домашние адреса, а также идентификаторы Facebook и OpenID.

К счастью, не у всех аккаунтов была заполнена вся перечисленная информация, благодаря чему число реально пострадавших пользователей ощутимо меньше указанных ShinyHunters цифр. Пароли также остались нетронутыми, однако есть подозрение, что киберпреступник всё-таки получил к ним доступ.

 

Исследователи считают, что изначально системы Teespring взломал не ShinyHunters, а другой злоумышленник (или группа злоумышленников). Кто — пока загадка. Напомним, что на днях ShinyHunters отличился сливом БД Nitro PDF с 77 млн записей и Pixlr с 1,9 млн записей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru