Из каждого третьего онлайн-банка можно украсть деньги

Доля финансовых приложений, в которых встречаются критически опасные уязвимости, в 2016 году снизилась, однако общий уровень риска выявленных уязвимостей стал значительно выше. Наиболее распространены оказались недостатки механизмов идентификации, аутентификации и авторизации.

Такие выводы содержатся в отчете на основе работ по анализу защищенности финансовых приложений, которые проводились экспертами Positive Technologies в 2016 году.

Как отмечается в исследовании, популярность электронных финансовых инструментов в России за последний год заметно выросла благодаря развитию бесконтактных систем оплаты: к уже привычным PayPass и payWave присоединились технологии NFC-платежей с помощью смартфонов — Apple Pay и Google Wallet. Однако безопасность общедоступных веб- и мобильных приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений. При этом в случае банковских приложений реализация угроз приводит к серьезным последствиям — включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса.

В частности, исследование показало, что в 2016 году доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска — на 18%. При этом в продуктивных системах выявлено почти в два раза больше уязвимостей, чем в системах, находящихся в разработке. А финансовые приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем те, которые разработаны банками самостоятельно.

Большинство онлайн-банков (71%) имеют недостатки в реализации двухфакторной аутентификации. 33% приложений онлайн-банков содержат уязвимости, позволяющие украсть деньги, а в 27% приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну.

Что касается мобильных банков, то в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. Банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе.