 Не секрет, что в данный момент довольно быстро развиваются различные мобильные технологии и системы, а требования к ведению дел настолько высоки, что необходимые данные нужно получать мгновенно и надёжно практически из любого уголка планеты. В этом контексте стоит упомянуть и о различных платёжных системах, которые здесь идут в ногу со временем, выпуская собственные приложения для различных мобильных операционных систем. А, поскольку изученность новых технологий на данный момент оставляет желать лучшего, то каждая из таких операционных систем может иметь довольно много уязвимостей.
Здесь включился в работу над поиском ошибок и уязвимостей исследовательский центр Digital Security, специалисты которого смогли проверить на предмет информационной безопасности популярные приложения для осуществления мобильных платежей. Эксперты целый год изучали порядка тридцати приложений, предоставленных самыми крупными банками России. Итогами же проведённой работы стала тенденция, суть которой сводится к тому, что разработчики современного контента для мобильных устройств, с помощью которого могут осуществляться платежи, не заботятся об их информационной безопасности (некоторые даже не удосуживаются следовать правилам безопасной разработки банк-клиентов). Очень часто встречаются банк-клиенты, при программировании которых не учитывались процессы разработки безопасного кода и архитектуры, что является основой безопасности любого приложения.
Таким образом, порядка 35% банк-клиентов для iOS и около 15% такого рода программ для Android уязвимы в плане работы SSL, то есть, платёжные данные могут быть перехвачены третьим лицом по типу атаки "человек посередине". Около 22% мобильных банков для iOS могут быть подвергнуты так называемой SQL-инъекции, что может использоваться для кражи информации о каждом платеже, используя несколько простых запросов. Также довольно большое количество программ для осуществления онлайн-платежей могут подвергнуться атаке с помощью XSS, которые являются самыми многочисленными в хакерской среде. Также стоит отметить, что порядка 45% банк-клиентов для iOS имеют уязвимость к XXE атакам, которые могут быть весьма опасны для смартфонов и планшетов с опцией jailbreak. А около 22% банковских программ для Android не должным образом используют механизмы взаимодействия между программными процессами, что позволяет другим приложениям вторгаться в систему и забирать из неё необходимые данные. Читайте еще
|
