Компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, объявила результаты нового исследования «Безопасность мобильного банкинга: возможность реализации атаки MiTM (Man-in-The Middle, Человек посередине)», автором которого является Дмитрий Евдокимов, директор исследовательского центра Digital Security. Эксперт компании занимается данной темой последние несколько лет, регулярно выступая с докладами на международных конференциях по ИБ, включая BlackHat, HackInParis,ZeroNights.
В прошлом году компания Digital Security постаралась систематизировать сферу мобильного банкинга и подход к анализу её безопасности, а также провела статический анализ безопасности около 40 приложений для iOS и Android. В рамках нового исследования рассмотрено уже не по 40 приложений для двух ОС, а примерно по 60, включая банк-клиенты Альфа-Банка, банка «Авангард», банка «Балтика», ВТБ, Газпромбанка, Промсвязьбанка, РайффайзенБанка, СИАБ, Ситибанка, Уралсиб, Ханты-Мансийского банка и других.
Комментирует Дмитрий Евдокимов: «На этот раз мы решили сосредоточиться на поиске одной из самых опасных уязвимостей в сфере мобильного банкинга, связанной с недостаточной защитой транспортного уровня или её отсутствием. Данная проблема может привести к реализации атаки MiTM и краже денег со счетов клиентов».
В рамках исследования рассматривались ОС Android и iOS, как наиболее распространенные и имеющие наибольшее количество приложений для мобильного банкинга. Эксперт Digital Security выяснил, что из всех рассмотренных мобильных банк-клиентов с iOS 14 % подвержены краже денег только с помощью MitM-атаки, а с Android 23 %. Сочетание других уязвимостей может также привести к краже денег со счетов клиентов. При этом стоит отметить, что только один банк из 79 изученных имеет одновременно уязвимое приложение для iOS и Android.
В ходе исследования эксперт Digital Security сделал также ряд интересных находок, напрямую не связанных с основной темой. Например, в ответах сервера иногда приходят отладочные трейсы, раскрытие внутренней банковской информации (даже информация об АБС, автоматизированной банковской системе). Или можно провести атаки “User Enumeration” — получения списка действующих логинов пользователей.
Опираясь на приведенные выводы исследования, а также на другие подробные факты и находки, описанные здесь, можно со всей уверенностью заявить, что существенное число российских банков до сих пор не уделяет должного внимания безопасности мобильного банкинга. Между тем, с развитием мобильных банковских технологий со временем всё больше транзакций будет совершаться онлайн. И если уязвимости будут существовать и множится, их эксплуатация будет приводить к массовым хищениям финансовых средств со счетов клиентов.
