Majoritatea aplicațiilor de mobile banking din SUA au defecte de securitate și confidențialitate
S-ar crede că cele mai mari bănci din Statele Unite ar avea unele dintre cele mai sigure aplicații de mobil, dar nu este așa, avertizează cercetătorii.
Descoperiri recente ale firmei de securitate Zimperium, împărtășite în exclusivitate pentru TechCrunch, spun că majoritatea aplicațiilor de mobile banking de top au defecte de securitate care supun riscului informațiile utilizatorului. Firma de securitate, care este specializată în securitatea dispozitivelor mobile, a descărcat aplicațiile bancare pentru iOS și Android și a verificat dacă acestea au probleme de securitate și confidențialitate, ca scurgeri de date care supun riscului informațiile private și comunicațiile utilizatorului, scrie techcrunch.com.
Cercetătorii au descoperit că majoritatea aplicațiilor aveau probleme, ca lipsa implementării celor mai bune practici de programare și folosirea de vechi librării gratuite care nu sunt actualizate frecvent.
Unele aplicații foloseau algoritmi gratuiți de pe GitHub care erau mai vechi de trei ani, a spus Scott King, director de securitate integrată a Zimperium. Și mai rău este că peste jumătate dintre aplicațiile bancare împărtășesc informațiile clienților cu cel puțin o companie publicitară, spun cercetătorii.
Cercetătorii, care nu au specificat numele băncilor, au spus că una dintre cele mai ofensatoare aplicații iOS a primit un scor de 86 din 100 pe scara de risc pentru câteva lipsuri din confidențialitate, inclusiv comunicarea prin intermediul unei conexiuni necriptate. Aceeași aplicație avea vulnerabilități cunoscute care datează din 2015. Cercetătorii au spus că scorul de risc pentru aplicațiile Android ale aceleași bănci erau mult mai mare. Ambele aplicații au primit 82 de puncte din 100. Ambele aplicații stocau informațiile într-un mod nesecurizat, pe care aplicațiile terțe l-ar fi putut accesa și recupera informații sensibile.
Firma de securitate a făcut apel la bănci să își întărească securitatea aplicațiilor.
Raportul celor de la Zimperium nu este o noutate, anul acesta fiind descoperit faptul că 30 de aplicații financiare pentru Android au probleme serioase de securitate.
La începutul lunii aprilie, un cercetător a analizat 30 de aplicații financiare pentru Android și a descoperit vulnerabilități care variază de la expunerea codului sursă la scurgeri de informații sensibile, conform securityportal.ro.
Conform studiului publicat de Arxan, 99% dintre aplicațiile testate timp de șase săptămâni nu au avut o protecție împotriva dezvăluirii codului sursă.
Astfel, instituțiile financiare ar trebui să fie conștiente de existența posibilelor defecte de securitate ale aplicațiilor pentru dispozitive mobile. Conform studiului, o mare cantitate de informații sensibile ar putea fi expuse pentru hackeri. Alte defecte de securitate des întâlnite în aceste aplicații vizează securitatea generatorului de numere aleatorii, injectarea de coduri malițioase din partea clientului, expunerea cheilor private și permisiuni care pot fi citite și modificate.
Cod sursă expus, informații sensibile expuse, acces la servicii backend prin intermediul unor API și alte probleme au fost descoperite de cercetătorul care a descărcat diferite aplicații financiare din magazinul Google Play și a descoperit că, în medie, dura doar 8 minute jumate înainte de a le citi codul sursă.
