В мобильных приложениях казахстанских банков найдены уязвимости

Центр анализа и расследования кибератак провёл анализ защищённости мобильных приложений банков второго уровня в Казахстане, сообщает пресс-служба ЦАРКА.

В ходе исследования, проведенного экспертами центра, был применен комбинированный подход, включающий как ручной анализ, так и автоматизированное сканирование. Это позволило выявить и классифицировать 20 уязвимостей по четырем категориям в системах безопасности 11 ведущих банков второго уровня Казахстана.

При этом одной из наиболее распространенных проблем, обнаруженных в ходе анализа, стала небезопасная практика хранения так называемых чувствительных данных. Более половины банковских систем хранят их в приватном файле внутри директории приложения

Часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберётся. Однако для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей. Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает очень критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платёжные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денежных средств клиента, – заявили аналитики центра.

У банков есть возможность исправить недочёты, однако в некоторых случаях проблемы не решаются, подчеркнул глава ЦАРКА Олжас Сатиев. По его словам, благодаря введению требований по подключению к платформам легального поиска уязвимостей (Bug Bounty), безопасность приложений исследуется регулярно.

Однако он добавил, что в стране ещё предстоит провести не только практическую работу, но и сменить парадигму мышления организаций по предоставлению публичной информации об утечках и уязвимостях.