Компания Digital Security опубликовала результаты тестирования мобильных платёжных приложений от более 30 российских банков, перечисленных ниже.

Тестирование безопасности приложений продолжалось около года с использованием статического анализа кода клиентской части (мобильного приложения) методом чёрного ящика.

Как выяснилось, разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате, все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения. Вот некоторые результаты:

  • 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL.
  • 22% приложений для iOS потенциально уязвимы к SQL-инъекции.
  • 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS.
  • 45% приложений для iOS потенциально уязвимы к XXE-атакам.
  • Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия.

По результатам тестирования специалисты Digital Security составили список рекомендаций для разработчиков мобильных банковских приложений:

  1. Осведомлять программистов по вопросам безопасности.
  2. Закладывать безопасность в архитектуру.
  3. Проводить аудит кода.
  4. Проводить анализ защищённости приложения.
  5. Применять параметры компилятора, связанные с безопасностью.
  6. Контролировать распространение приложения в интернете.
  7. Быстро закрывать уязвимости и выпускать обновления.

Полную версию исследования можно скачать здесь.

Оставить мнение