Большинство приложений содержат в коде важную информацию, позволявшую получить доступ к серверам вендора и скомпрометировать данные пользователей.
Подавляющее большинство мобильных приложений крупных финансовых компаний подвержены проблемам безопасности, воспользовавшись которыми злоумышленники могут получить доступ к конфиденциальным данным, включая банковские учетные данные, показало исследование , проведенное специалистами компании Aite Group по заказу Arxan Technologies.
Исследователи проанализировали 30 размещенных в каталоге Google Play Store приложений, связанных с различными сферами (банковской, мобильными платежами, страхованием и пр.) и выяснили, что практически все из них содержат в своем коде или подпапках важную информацию, в том числе закрытые ключи, ключи API и сертификаты, с помощью которых преступники могут получить доступ к серверам вендора и скомпрометировать данные пользователей.
Согласно отчету, 97% проанализированных приложений не обладают защитой от реверс-инжиниринга, позволяя легко получить доступ к исходному коду с помощью доступных в интернете инструментов. По словам старшего аналитика Aite Group Алиссы Найт (Alissa Knight), в среднем взлом приложения занимал всего 8,5 минут.
Кроме того, 90% программ допускали утечку информации, совместно используя сервисы с другими приложениями на устройстве, и тем самым позволяли другим приложениям получать доступ к финансовым данным.
Как выяснилось, 83% приложений хранят данные в неподконтрольных местах, например, в локальной файловой системе устройства, на внешних накопителях или копируют информацию в буфер обмена, предоставляя к ней доступ другим программам. Еще одной распространенной проблемой оказалось слабое шифрование – 80% приложений использовали либо ненадежные криптоалгоритмы, либо в них был некорректно реализован стойкий метод шифрования. При этом 70% приложений использовали ненадежный генератор случайных чисел, что позволяло с легкостью взломать или угадать значения.
Большое число уязвимостей представляет прямую угрозу безопасности финансовых организаций и их клиентов, которые могут стать жертвами взлома аккаунтов, мошенничества или кражи личности, подчеркнули исследователи.