Исследователи из Positive Technologies изучили защищённость мобильных приложений для онлайн-банкинга. Анализ показал, что на сегодняшний день ни одно из таких приложений не может обеспечить должный уровень безопасности.
Как выяснила команда Positive Technologies, более 50% всех обнаруженных уязвимостей находятся в серверных частях мобильных банковских приложений. При этом каждая вторая программа допускает мошеннические операции и кражу денег.
Удивительно, но 43% проанализированных приложений хранят конфиденциальные данные на мобильном устройстве в открытом виде. Что касается уязвимостей, 76% можно использовать в атаке без наличия физического доступа к устройству, а треть брешей не требует прав администратора для эксплуатации.
Android-версии банковских приложений оказались менее защищены, чем аналоги для iOS. Например, в мобильной операционной системе от Apple программы для онлайн-банкинга продемонстрировали уязвимости не выше среднего уровня опасности. А вот в Android 29% дыр приложений показали высокую степень риска.
По словам специалистов, самые опасные уязвимости связаны с небезопасной обработкой ссылок deeplink. При этом очевидно, что в Android разработчикам дано больше возможностей для реализации функций, в чём исследователи и видят основную причину такого количества проблем безопасности.
Согласно отчёту, 54% выявленных брешей содержатся в серверных частях мобильного банка. Также эксперты нашли ошибки бизнес-логики в трёх из семи серверных частей.
