В сентябре 2024 года Центр расследования и анализа кибератак (TSARKA Group) проанализировал защищенность мобильных приложений банков второго уровня Республики Казахстан. С результатами исследования читателей портала Fintech & Retail CA знакомит Олжас Сатиев, президент TSARKA. 

Этой осенью TSARKA Group опубликовала результаты ежегодного анализа защищенности мобильных приложений банков второго уровня. Коллектив TSARKA уже больше десятилетия работают над тем, чтобы защищать бизнес, государство и граждан Республики Казахстан от киберпреступников. Экспертиза и опыт более чем сотни топовых специалистов, выросших в Казахстане и обученных противодействовать киберугрозам именно в этом регионе, помогает успешно защищать именно казахстанский бизнес на базе как местных, так и известных по всему миру продуктов и технологий.

Исследователи отмечают, что мобильные приложения стали неотъемлемой частью взаимодействия бизнеса с клиентами, обеспечивая удобство и безопасность при обработке конфиденциальной информации пользователей. Однако, несмотря на их значимость, незащищенные мобильные приложения могут стать объектом интереса для злоумышленников, что в свою очередь может привести к серьезным угрозам безопасности данных и репутации банков. Ведь, как известно, в настоящее время банки хранят огромное количество конфиденциальных данных, включая личную информацию клиентов.

Анализ защищенности

Нарушение безопасности мобильных приложений банков может привести к серьезным последствиям, включая утечку личных данных клиентов и потерю доверия общества к банковской системе. В рамках стратегии кибербезопасности «Киберщит Казахстана», был проведен анализ защищенности мобильных приложений банков второго уровня.

В рамках анализа были рассмотрены 12 типов уязвимостей в трех

основных категориях:

• Сетевое взаимодействие
• Конфигурация приложения
• Хранение конфиденциальных данных

Анализ выявил ряд уязвимостей и недостатков в мобильных приложениях, которые могут быть использованы злоумышленниками для несанкционированного доступа к конфиденциальной информации.

Рассмотренные проблемы касались настройки сетевого взаимодействия и передачи чувствительных данных в мобильных приложениях, которые часто подвержены атаке Man-in-the-Middle («человек посередине»). Эта атака позволяет злоумышленнику

перехватывать и изменять трафик между клиентом и сервером, выдавая себя за обе стороны связи. Подобные уязвимости могут существенно упростить задачу злоумышленникам при осуществлении подобных атак, что подчеркивает необходимость тщательного обеспечения безопасности сетевого взаимодействия в мобильных

приложениях.

Методы тестирования

В рамках исследования эксперты TSARKA применяли как ручные методы тестирования и анализа мобильных приложений, так и автоматизированные инструменты сканирования (MobSf, apkhunt и nuclei). Указанные инструменты – части автоматизированной комплексной платформы для тестирования на проникновение, анализа вредоносных программ и оценки безопасности мобильных приложений (под платформы Android/iOS/Windows). Данный подход обеспечивал всестороннюю оценку безопасности мобильных приложений, позволяя выявить как уязвимости, обнаруженные вручную, так и потенциальные угрозы, выявленные автоматически. В процессе исследования было рассмотрено 20 уязвимостей в 4 категориях у 11 ведущих банков второго уровня (БВУ) РК, часть приложений которых можно отметить как высококритичные, требующие немедленного исправления в исследованных версиях мобильных приложений.

Распространенные уязвимости

Например, больше половины исследуемых приложений хранит чувствительную информацию в приватном файле внутри директории приложения. Очень часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется. Однако на самом деле для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей. Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает весьма критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денежных средств клиента.

В заключение стоит отметить, что внедрение на государственном уровне требований к подключению в платформу легального поиска уязвимостей (Bug Bounty) дало толчок роста к регулярным исследованиям безопасности. Однако впереди нас ждет большая работа не только в рамках практической безопасности, но в и контексте смены парадигмы мышления, прекращения «невыноса сора из избы», то есть информации об утечках и уязвимостях, из периметра организации.

Новости Финтеха, ритейла и e-commerce в Центральной Азии