Центр анализа и расследования кибератак (ЦАРКА) недавно завершил всесторонний анализ уровня безопасности мобильных приложений второго уровня банков в Казахстане, сообщает Bizmedia.kz со ссылкой на пресс-службу организации.
Эксперты центра использовали комплексный метод, который позволил выявить как ручные, так и автоматические уязвимости. В ходе исследования было рассмотрено 20 уязвимостей, распределённых по четырём основным категориям, касающимся 11 крупных банков второго уровня в стране.
Некоторые из этих уязвимостей были классифицированы как высококритичные, требующие немедленного вмешательства. К примеру, более половины банков, подвергнутых анализу, были обнаружены хранящими чувствительные данные в приватных файлах, помещённых в директории приложений.
Существует ошибочное мнение, что данные, расположенные во внутренней директории приложения, находятся в безопасности и не могут быть доступны злоумышленникам. Однако множество методов, начиная от создания резервных копий устройства и заканчивая физическим доступом к ним, могут позволить получить доступ к этой информации.
В случае наличия других уязвимостей, которые обеспечивают доступ к файлам в песочнице приложения, хранение сенситивных данных в таких директориях становится особенно проблематичным, особенно если речь идёт об аутентификационных или платёжных данных пользователей. Это может привести к серьёзным последствиям, вплоть до потери доступа к аккаунту или утечки денежных средств клиентов, подчеркнули аналитики.
Хотя у банков имеется возможность устранить выявленные недостатки, в реальности не все проблемы решаются своевременно, отметил глава ЦАРКА Олжас Сатиев. Он отметил, что благодаря внедрению требований к подключению к платформам легального поиска уязвимостей (Bug Bounty), исследования безопасности приложений проводятся на регулярной основе.
Однако, как добавил Сатиев, в стране необходимо не только продолжать практическую работу, но и изменить парадигму мышления организаций касательно прозрачности предоставления информации о возможных утечках данных и выявленных уязвимостей.
