В мобильных приложениях казахстанских банков нашли уязвимости

Центр анализа и расследования кибератак провел анализ защищенности мобильных приложений банков второго уровня в Казахстане, сообщает 365Info.kz со ссылкой на пресс-службу ЦАРКА.

Исследователи применили комбинированный подход, включающий как ручной анализ, так и автоматизированное сканирование. Это позволило выявить и классифицировать 20 уязвимостей по четырем категориям в системах безопасности 11 ведущих банков Казахстана.

При этом одной из наиболее распространенных проблем стала небезопасная практика хранения так называемых чувствительных данных. Более половины банковских систем хранят их в приватном файле внутри директории приложения.

Часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется.

Однако для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей.

Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает очень критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денег клиента, – заявили аналитики центра.

У банков есть возможность исправить недочеты, однако в некоторых случаях проблемы не решаются, подчеркнул глава ЦАРКА Олжас Сатиев. По его словам, благодаря введению требований по подключению к платформам легального поиска уязвимостей, безопасность приложений исследуется регулярно.

Однако он добавил, что в стране еще предстоит провести не только практическую работу, но и сменить парадигму мышления организаций по предоставлению публичной информации об утечках и уязвимостях.