Мы ценим вашу конфиденциальность

Мы используем файлы cookie для улучшения вашего удобства просмотра, показа персонализированной рекламы или контента и анализа нашего трафика. Нажимая "Принять все", вы даете согласие на использование нами файлов cookie.

Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

Powered by Cookieyes logo
Банки, Молния, Эксперты

Безопасность мобильного банкинга Республики Казахстан. В зоне риска

21.10.202421.10.2024
5
Олжас Сатиев

В сентябре 2024 года Центр расследования и анализа кибератак (TSARKA Group) проанализировал защищенность мобильных приложений банков второго уровня Республики Казахстан. С результатами исследования читателей портала Fintech & Retail CA знакомит Олжас Сатиев, президент TSARKA. 

Этой осенью TSARKA Group опубликовала результаты ежегодного анализа защищенности мобильных приложений банков второго уровня. Коллектив TSARKA уже больше десятилетия работают над тем, чтобы защищать бизнес, государство и граждан Республики Казахстан от киберпреступников. Экспертиза и опыт более чем сотни топовых специалистов, выросших в Казахстане и обученных противодействовать киберугрозам именно в этом регионе, помогает успешно защищать именно казахстанский бизнес на базе как местных, так и известных по всему миру продуктов и технологий.

Исследователи отмечают, что мобильные приложения стали неотъемлемой частью взаимодействия бизнеса с клиентами, обеспечивая удобство и безопасность при обработке конфиденциальной информации пользователей. Однако, несмотря на их значимость, незащищенные мобильные приложения могут стать объектом интереса для злоумышленников, что в свою очередь может привести к серьезным угрозам безопасности данных и репутации банков. Ведь, как известно, в настоящее время банки хранят огромное количество конфиденциальных данных, включая личную информацию клиентов.

Анализ защищенности

Нарушение безопасности мобильных приложений банков может привести к серьезным последствиям, включая утечку личных данных клиентов и потерю доверия общества к банковской системе. В рамках стратегии кибербезопасности «Киберщит Казахстана», был проведен анализ защищенности мобильных приложений банков второго уровня.

В рамках анализа были рассмотрены 12 типов уязвимостей в трех

основных категориях:

  • Сетевое взаимодействие
  • Конфигурация приложения
  • Хранение конфиденциальных данных

Анализ выявил ряд уязвимостей и недостатков в мобильных приложениях, которые могут быть использованы злоумышленниками для несанкционированного доступа к конфиденциальной информации.

Рассмотренные проблемы касались настройки сетевого взаимодействия и передачи чувствительных данных в мобильных приложениях, которые часто подвержены атаке Man-in-the-Middle («человек посередине»). Эта атака позволяет злоумышленнику

перехватывать и изменять трафик между клиентом и сервером, выдавая себя за обе стороны связи. Подобные уязвимости могут существенно упростить задачу злоумышленникам при осуществлении подобных атак, что подчеркивает необходимость тщательного обеспечения безопасности сетевого взаимодействия в мобильных

приложениях.

Методы тестирования

В рамках исследования эксперты TSARKA применяли как ручные методы тестирования и анализа мобильных приложений, так и автоматизированные инструменты сканирования (MobSf, apkhunt и nuclei). Указанные инструменты – части автоматизированной комплексной платформы для тестирования на проникновение, анализа вредоносных программ и оценки безопасности мобильных приложений (под платформы Android/iOS/Windows). Данный подход обеспечивал всестороннюю оценку безопасности мобильных приложений, позволяя выявить как уязвимости, обнаруженные вручную, так и потенциальные угрозы, выявленные автоматически. В процессе исследования было рассмотрено 20 уязвимостей в 4 категориях у 11 ведущих банков второго уровня (БВУ) РК, часть приложений которых можно отметить как высококритичные, требующие немедленного исправления в исследованных версиях мобильных приложений.

Распространенные уязвимости

Например, больше половины исследуемых приложений хранит чувствительную информацию в приватном файле внутри директории приложения. Очень часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется. Однако на самом деле для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей. Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает весьма критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денежных средств клиента.

В заключение стоит отметить, что внедрение на государственном уровне требований к подключению в платформу легального поиска уязвимостей (Bug Bounty) дало толчок роста к регулярным исследованиям безопасности. Однако впереди нас ждет большая работа не только в рамках практической безопасности, но в и контексте смены парадигмы мышления, прекращения «невыноса сора из избы», то есть информации об утечках и уязвимостях, из периметра организации.

Новости Финтеха, ритейла и e-commerce в Центральной Азии