НОВОЕ РУКОВОДСТВО ПО СОВРЕМЕННЫМ УГРОЗАМ В СФЕРЕ БЕЗОПАСНОСТИ


Номер телефона как идентификатор

62% российских банков полагаются исключительно на номер телефона, с которого абонент звонит в колл-центр, для первичного подтверждения личности клиента. Таким образом, зная номер телефона жертвы, злоумышленник может получить у банка приватные данные клиента или даже заблокировать счета без подтверждения личности. Для этого достаточно с помощью SIP-оператора подделать номер телефона (Caller ID), отображающийся во время приема входящего звонка в колл-центре.

При этом 68% банков не отслеживает, была ли недавно перевыпущена SIM-карта клиента. Это дает хакеру еще одну возможность - инициировать перевыпуск карты жертвы, номер телефона которой он знает, и реализовать с помощью этой карты преступную схему по выводу средств, поскольку снятие средств после перевыпуска, как и вход в аккаунт, по-прежнему возможно.

Что касается состава данных, которые сотрудники российских банков могут сообщать по телефону, то в 18% банков у злоумышленника есть возможность узнать баланс счета и сведения о транзакциях, что может пригодиться ему для вывода средств с этого счета.

К таким выводам пришла компания Digital Security, специализирующаяся на кибербезопасности, которая опубликовала результаты исследования взаимодействия 16 крупнейших банков России с операторами сотовой связи, а именно с большой четверкой - Вымпелкомом (торговая марка Билайн), МТС, Мегафоном и Т2 Мобайл (Tele2). Авторами исследования являются аналитики Егор Салтыков и Виктор Вуколов.

Проблемы подтверждения личности

Исследование также затрагивает вопросы защищенности мобильных банковских приложений для iOS и Android. При отборе приложений Digital Security опиралась не только на Топ 100 российских банков от издания banki.ru, но и на рейтинги самых популярных банковских приложений в App Store и Google Play.

Банковские приложения хранят данные пользователей в местах, где их могут найти злоумышленники

Исследование показало, что 18% приложений рассмотренных 16 банков не имеет второго фактора защиты для входа на платформах iOS и Android - двухфакторная аутентификация отсутствует в трех из 16 случаев для обеих платформ, хотя это требование уже несколько лет входит в перечень ключевых норм безопасности банковских приложений.

Хотя оптимальной длиной SMS-кода, который используется в качестве второго фактора аутентификации, на сегодняшний день считается шесть символов, два приложения для Android используют пять символов, еще четыре приложения - четыре символа. Точно такие же показатели продемонстрировали приложения для iOS.

Кроме того, семь из 16 приложений для iOS раскрывают координаты пользователя - широту и долготу с точностью до метра. В случае Android это делают четыре приложения.

Проблемы приложений для iOS

Большинство приложений хранит данные пользователей в местах, откуда они могут быть извлечены злоумышленником. В двух приложениях для iOS сессию нельзя полностью завершить, шесть оставляют данные клиента в Keychain, специальном хранилище iOS для хранения критичной информации, семь - в памяти, 10 - в файлах, и 11 - в cookie.

Один API для iOS использует небезопасное HTTP-соединение. 11 приложений для iOS поддерживают запуск на устройстве, пережившем Jailbreak, то есть принудительное повышение привилегий пользователя. Также есть остаточные явления периода разработки - 13 приложений содержат информацию о тестовом окружении.

11 из 16 банков позволяют снять средства с карты после замены SIM

13 из 16 приложений для iOS некорректно работают с Snapshot - при завершении сеанса они создают снимок экрана и хранят его до следующего сеанса. 10 из 16 приложений используют массив NSUserDefaults, который может содержать данные об учетной записи или банковской карте.

Проблемы приложений для Android

Одно из исследованных банковских приложений для Android хранит пароль в файлах после завершения сессии, пять сохраняют данные клиента в памяти после завершения сессии, шесть сохраняют там пароль. Также одно приложение осуществляет запись отладочной информации в журнал устройства (logcat) - эта функция может быть сохранена разработчиком при переходе из тестовой версии в окончательную. Есть и другие рудименты тестирования - в 10 приложениях содержатся SSL-сертификаты с данными о разработчике, четыре содержат информацию о тестовом окружении.

Кроме того, четыре Android-приложения допускают возможность утечки данных через Backup. 12 из них не предупреждают о работе со скомпрометированным устройством, где реализован корневой доступ. Одно не использует проверку SSL Pinning, которая позволяет защититься от атаки типа человек посередине.

Другие новости на эту тему

Госдума одобрила законопроект о товарных агрегаторах Государственная Дума одобрила во втором чтении законопроект об агрегаторах товаров и услуг в интернете. Речь идет о поправках в Закон О защите прав потребителей...
Исследователи из Калифорнийского университета в Сан-Диего обнаружили, что высокий уровень белка винкулина, который участвует при образовании контактов между клетками и внеклеточным матриксом, препятствует старению сердца у насекомых. Об этом сообщается в пресс-релизе на Phys.org.Сердечная мышца образована тканью, состоящей из клеток кардиомиоцитов...
Группа ученых под руководством Скотта Шеппарда (Scott Sheppard) из Института Карнеги (США) обнаружила 12 новых спутников Юпитера, увеличив таким образом число лун у газового гиганта до 79. При этом один из объектов, названный Валетудой в честь древнеримской богини здоровья и гигиены, обладает необычной нестабильной орбитой. Об этом сообщается в пресс-релизе на сайте Phys.org...
Новая функция Skype В приложении Skype уже в ближайшее время появится функция записи видеозвонков. Об этом Microsoft сообщила в своем блоге, посвященном Skype. Обновление приложения с новой функцией выйдет позднее в этом месяце. Записи звонков будут храниться в облаке, поэтому получить к ним доступ можно будет с любого устройства под управлением Windows, Mac, iOS, Android и Linux...
Гендиректор РТ-венчурные инвестиции Как выяснил CNews, гендиректором венчурного фонда Ростеха, который создается по поручению Президента России Владимира Путина, стал Игорь Косов. В недолгий период своей карьеры на госслужбе с января 2010 г. по март 2011 г...
Крупнейшая независимая площадка для встречи ИТ-руководителей и специалистов бизнеса и госструктур CNews FORUM 8 ноября 2018 г. откроется в юбилейный десятый раз. В этом году участие в дискуссиях CNews FORUM 2018 примут более 1500 чиновников, ИТ-директоров российских предприятий, государственных ведомств и представителей ведущих ИКТ-компаний страны...
Забастовка в Германии Тысячи сотрудников Amazon в Германии, которые работают на складах компании, вышли сегодня на забастовку, требуя улучшения условий труда, передает Reuters. Однодневная акция происходит одновременно в шести локациях Amazon в Германии...
Создаваемая в России ракета среднего класса Союз-5 получит Царь-двигатель, передает РИА Новости слова гендиректора Роскосмоса Дмитрия Рогозина.Двигатель первой ступени РД-171 (использовался на первой ступени советской средней ракеты Зенит - прим. Ленты.ру) для новой ракеты Союз-5 будет модернизирован и после этого станет обладать новыми уникальными характеристиками...
Российская сверхтяжелая ракета будет запущена с космодрома Восточный в 2027 году, передает РИА Новости слова гендиректора Роскосмоса Дмитрия Рогозина.Мы рассчитываем, что она отправится в первый полет уже в 2027 году. У нас есть распоряжение президента, и мы его будем выполнять, - заявил глава госкорпорации.Чиновник отметил, что речь пойдет о принципиально новой ракете...
Летные испытания нового российского космического корабля Федерация могут сдвинуть с 2022-го на 2025 год, а виновными в неудачах и задержках объявят прежнее руководство РКК Энергия и Роскосмоса, сообщили РИА Новости два источника в ракетно-космической отрасли...