Больше половины систем ДБО содержат критически опасные уязвимости

Больше половины систем ДБО содержат критически опасные уязвимости

Эксперты Positive Technologies проанализировали приложения банков и пришли к выводу, что больше половины систем ДБО содержат критически опасные уязвимости. При этом доля систем ДБО, в которых обнаруживаются критически опасные уязвимости, снижается с каждым годом. Если в 2015 году уязвимости высокого уровня риска содержались в 90% проанализированных систем, а в 2016 году в 71%, то в 2017-м уже только в 56%.

Однако несмотря на заметный рост уровня защищенности, текущие недостатки все еще несут серьезные угрозы для банков и их клиентов, отмечается в ежегодном исследовании Positive Technologies.

В среднем в 2017 году на каждую систему ДБО приходилось по 7 уязвимостей, что больше показателя 2016 года, когда на каждое финансовое приложение приходилось только 6 недостатков. Однако доли уязвимостей высокого и среднего уровня риска заметно снизились. Например, в трети онлайн-банков отсутствовали критически опасные недостатки, а годом ранее уязвимости высокого уровня риска были во всех финансовых веб-приложениях, кроме одного.

Наиболее распространенными уязвимостями онлайн-банков в 2017 году стали «Межсайтовое выполнение сценариев» (75% систем) и «Недостаточная защита от атак, направленных на перехват данных» (69%), которые позволяют совершать атаки на клиентов банков (например, перехватывать значения cookie или похищать учетные данные). Больше половины онлайн-банков (63%) содержали уязвимость высокого уровня риска «Недостаточная авторизация», которая позволяет злоумышленнику получить несанкционированный доступ к функциям веб-приложения, не предназначенным для данного уровня пользователя. Кроме того, уязвимости в 94% онлайн-банков могли быть использованы злоумышленниками для доступа к сведениям, составляющим банковскую тайну клиентов, и личной информации.

С мобильными банковскими приложениями ситуация похожа: снизились доли уязвимостей высокого (29% вместо 32% в 2016 году) и среднего уровня риска (56% вместо 60%). Соответственно, увеличилась доля уязвимостей низкого уровня риска; компании стремятся в первую очередь принимать меры для устранения критически опасных уязвимостей. Тем не менее в половине систем (48%) была выявлена хотя бы одна критически опасная уязвимость. В 52% мобильных банков уязвимости позволяли расшифровать, перехватить, подобрать учетные данные для доступа в мобильное приложение или вовсе обойти процесс аутентификации. В результате злоумышленник может получить возможность совершать операции в мобильном банке от лица легитимного пользователя.

При этом iOS-приложения вновь оказались защищены лучше, чем их аналоги для Android. Доля уязвимостей высокого уровня риска в iOS-приложениях составила всего 25%, в то время как в Android-приложениях она занимает 56%. Практически для всех рассмотренных мобильных банков (кроме одного) эксперты анализировали по два идентичных приложения, разработанных для разных операционных систем, и в некоторых случаях мобильное приложение для iOS не содержало уязвимостей, которые были обнаружены в Android-приложении.

Большинство систем ДБО (68%) были разработаны финансовыми организациями самостоятельно. Но если в 2016 году приложения, созданные банками, содержали в два раза меньше уязвимостей, чем системы, развернутые на готовых платформах, то год спустя ситуация изменилась: у приложений, построенных на «коробочных» решениях, стало меньше критически опасных уязвимостей. Вендоры стали больше внимания уделять вопросам безопасности, в то время как банкам по-прежнему не хватает опытных разработчиков в штате и грамотно выстроенного процесса безопасной разработки.

«2017 год подарил надежду, что финансовые приложения когда-нибудь станут безопасными. Мы наблюдали существенное повышение уровня защищенности анализируемых систем ДБО — как онлайн-банков, так и мобильных приложений, — комментирует результаты исследования аналитик Positive Technologies Ольга Зиненко. — Однако финансовые организации не должны останавливаться на достигнутом. Их клиенты по-прежнему рискуют как минимум своими личными данными и банковской информацией, а сами банки — денежными средствами. Так, в 44% мобильных приложений можно было скомпрометировать банковскую информацию клиентов, а в 13% нам встретилась уязвимость "Выполнение произвольного кода", эксплуатация которой позволяет получить полный контроль над сервером ДБО, что чревато для банка репутационными и финансовыми потерями».

Помимо анализа защищенности приложений, который регулярно проводят практически все банки, эксперты советуют не забывать про анализ исходного кода приложений. Анализировать код необходимо и в системах, построенных на базе готовых вендорских решений: уязвимости могут возникать в процессе внедрения и настройки. До выпуска исправлений для выявленных уязвимостей рекомендуется использовать систему превентивного контроля (web application firewall), а после их устранения проводить проверку эффективности принятых мер.

При самостоятельном создании финансовых приложений банки должны уделять больше внимания вопросам безопасности на ранних стадиях — как на этапе проектирования приложений и подготовки технических заданий для программистов, так и в процессе разработки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Mastercard готовит запуск биометрической карты F.CODE Easy

Оператор платежной системы Mastercard готовит к пробным испытаниям банковскую карту F.CODE Easy, использующую отпечатки пальцев для подтверждения прав на транзакцию в платежных терминалах магазинов. Стартующий в Азии пилотный проект призван повысить удобство, надежность и безопасность платежей, а также сократить количество точек, к которым владельцам карт приходится прикасаться в общественных местах.

Разработчиком новой смарт-карты является компания IDEMIA, известный производитель систем биометрической идентификации. Проект F.CODE Easy был реализован в соответствии с техническими требованиями, которые выставили в Mastercard.

В отличие от устоявшейся практики, идентификаторы владельца вшиты в чип карты, а не хранятся в централизованной базе. Батареи для датчика отпечатков пальцев F.CODE Easy не предусматривает, он питается за счет платежных терминалов. Новинка получила сертификат соответствия стандартам ISO, в том числе по безопасности.

Выпуск пилотных биометрических карт будет осуществлять компания MatchMove, поставщик банковских услуг в Сингапуре. Специалисты IDEMIA пообещали предоставить эмитенту полный набор услуг, позволяющий клиентам записаться добровольцами, не выходя из дома.

По замыслу участников проекта, первыми пользователями F.CODE Easy станут их собственные сотрудники, которые попытаются провести платеж в терминале и станут звездами демо-трансляции для потенциальных клиентов.

«В условиях всеобщего перехода на бесконтактные транзакции эта биометрическая карта предоставит больше выбора потребителю и поможет повысить безопасность», — объясняет Мэтью Драйвер (Matthew Driver), вице-президент Mastercard по управлению продукцией и услугами в Азиатско-Тихоокеанском регионе.

Согласно результатам опроса, проведенного Mastercard в разных странах, две трети потребителей не считают переход на цифровые платежи временным явлением. Около половины опрошенных заявили, что планируют и впредь меньше пользоваться наличными — даже после того, как угроза заражения COVID-19 утратит свою актуальность.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru