Keselamatan maklumat aplikasi mudah alih. Keselamatan aplikasi perbankan mudah alih

Ob Sie als Kleinunternehmer oder für einen multinationalen Konzern tätig sind, die sollte jeden im Unternehmen angehen und zu den vordringlichsten Aufgaben der IT gehören. Trend zur Cloud und die neue BYOD-Mentalität (Bawa Peranti Anda Sendiri) führen dazu, dass praktisch jeder Mitarbeiter zu jeder Zeit Zugriff auf Ihre Unternehmensdaten hat. Jadi sind Ihre Daten Sicherheitsrisiken durch Hacker, Viren und andere Angreifer ausgesetzt.

Möglicherweise is Ihnen die Situasi bereits bewusst, sodass Sie Vorkehrungen zum Schutz mobiler Daten getroffen haben. Allerdings stellt sich die Frage, ob Ihre Sicherheitslösung genügend Schutz vor der zunehmenden Bedrohung mobiler Daten gewährleistet. Hier einige Funktionen, auf die es bei der Wahl der richtigen ankommt.

  • Container oder Personas auf Geräteebene: Mithilfe von Containern oder Personas auf Geräteebene kann Ihr IT-Team auf dem BYOD-Gerät eines Nutzers eine Umgebung oder einen Container einrichten, in dem Ihre Geschäftsanwendungen und Properties geschäftsanwendungen ausgef weschäftsanwendungen ausgef werden und schüttung schäftswendungen. Jadi muss das Sicherheitskonzept nicht auf das gesamte Smartphone angewendet werden, Ihre Daten sind trotzdem geschützt, und das Gerät kann weiterhin uneingeschränkt für private Zwecke genutzt werden.
  • Pengurusan Aplikasi Mudah Alih (MAM): MAM trägt zum Schutz mobileer Daten bei, indem Ihr IT-Team Mitarbeitern den Zugriff auf spezifische Anwendungen ermöglicht, die sie für die Arbeit nutzen dürfen. Die Anwendungen vom IT-Team überwacht werden, können sie jederzeit per Remotezugriff entfernt werden. Dies is von Vorteil, wenn ein Mitarbeiter sein Gerät verliert oder das Unternehmen nicht im Einvernehmen verlässt.
  • Verschlüsselungsprotokolle: Mobile Sicherheitslösungen bieten auch die Möglichkeit, Verschlüsselungsprotokolle und -technologien zu kombinieren, um Ihre Daten praktisch überall zu schützen. Eine Lösung sollte Protokolle und Technologien kombiniert nutzen, beispielsweise Transport Layer Security/Secure Socket Layer (TLS/SSL), Internet Protocol Security (IPsec), Advanced Encryption Standard (AES)-256 und BitLocker-Verschlüsselung. Jadi dehnen Sie Ihr Sicherheitsnetz aus und können Ihre Daten umfassender schützen als mit einer Lösung, bei der nur eines dieser Protokolle zum Einsatz kommt.
  • Pengesahan Berbilang Faktor: Eine Lösung, die mehrstufige Authentifizierung (Pengesahan Berbilang Faktor) dan SSO (Single Sign-On) unterstützt, bietet nicht nur sicheren Zugang zu Daten und Anwendungen, sondern ermöglicht Ihrem Friendly Team auch die. Die Authentifizierung lässt sich beispielsweise durch einen Telefonanruf, eine SMS oder eine Benachrichtigung auf dem Mobilgerät verifizieren and ist schnell und einfach bestätigt. Einige Multi-Factor Authentication-Lösungen bieten zudem Sicherheitsüberwachung in Echtzeit und nutzen auf Machine Learning basierende Berichte. Durch die Identifikation inkonsistenter Anmeldemuster lassen sich verdächtige Aktivitäten ermitteln, auf die das IT-Team sofort reagieren kann.

Die Nutzung privater Geräte di Unternehmen jeder Größe boomt. Deshalb reicht es längst nicht mehr aus, nur Mobilgeräte zu schützen. Stattdessen benötigen Sie eine umfassende Datenschutzstrategie, die alle Möglichkeiten des mobilen Datenzugriffs abdeckt. Keine Sicherheitslösung kann Ihr Unternehmen vollständig vor Bedrohungen schützen. Sie sollten auf ein Package setzen, das verschiedene Maßnahmen bündelt, regelmäßig aktualisiert wird und sowohl nationale als auch internationale Normen erfüllt. Jadi sorgen Sie dafür, dass Ihre Daten nach neuesten Sicherheitsstandards geschützt sind – egal, wo oder wie darauf zugegriffen wird.

Analisis kandungan kedai aplikasi untuk peranti Apple dan Android mendedahkan 14 ribu. program yang meragukan.

Secara keseluruhan, pakar mengkaji kira-kira 400 ribu aplikasi, yang biasanya dipasang oleh pekerja syarikat yang pakar dalam pelbagai industri - perkhidmatan kewangan, media, telekomunikasi, dan sebagainya. Ternyata 3% daripada program yang dikaji menghadapi masalah keselamatan.

Khususnya, 85% daripada jenis aplikasi ini tidak menyediakan keselamatan yang boleh dipercayai bagi maklumat sulit yang penting - contohnya, seperti lokasi pelanggan, sejarah, kenalan, tanda kalendar, Mesej SMS,pengecam peranti.

Di samping itu, 32% daripada 14 ribu permohonan berfungsi aktiviti yang mencurigakan. Katakan program ini memerlukan hak pentadbir, yang akhirnya boleh membenarkan mereka menyahpasang, memasang atau menjalankan aplikasi lain, mendengar perbualan telefon, lumpuhkan perisian anti-virus, lihat data cache, yang mungkin termasuk kata laluan bank.

35% daripada aplikasi berusaha untuk menerima dan memajukan maklumat peribadi pengguna - sejarah penyemak imbas, nota kalendar, pergerakan seseorang. Akibatnya, penyerang diberi peluang untuk mencipta profil lengkap pengguna dan hubungan sosialnya.

Pakar memberi amaran tentang bahaya serius yang ditimbulkan oleh perisian ini. Veracode mengatakan semua pihak yang bertanggungjawab telah dimaklumkan tentang aplikasi yang boleh dipersoalkan, dan CSO mengatakan aplikasi itu masih tersedia di kedai dan boleh dimuat turun. Oleh itu, aplikasi Cina untuk mendengar buku audio Lazy Listen telah dipasang 500 ribu kali, tetapi semasa pemasangan ia meminta kebenaran untuk berfungsi sebagai program pengintip. Menurut Veracode, maklumat yang dikumpul oleh aplikasi itu tidak digunakan untuk meningkatkan kualiti perkhidmatan untuk pelanggan.

Laporan yang diterbitkan oleh FireEye melukiskan gambaran suram tentang kerentanan dalam apl iOS dan Android, yang telah dimuat turun lebih daripada 6 bilion kali digabungkan. Ini masih berlaku, menurut FireEye, walaupun selepas Apple mengeluarkan tampalan yang membetulkan kelemahan iOS: “Walaupun selepas tampalan Android dan iOS, apl tersebut masih terdedah kepada FREAK apabila peranti bersambung ke pelayan yang menerima sifir RSA_EXPORT.” .

Serangan FREAK adalah mungkin kerana pelayan boleh dipaksa untuk menerima kunci RSA 512-bit yang diluluskan untuk eksport oleh kerajaan AS (artifak lapuk yang dianggap boleh memintas trafik yang disulitkan dan menyahsulitnya menggunakan sumber pengkomputeran yang agak sederhana).

FireEye berkata ia mengimbas 11,000 apl di Google Play, setiap satunya mempunyai sekurang-kurangnya satu juta muat turun, dan mendapati 1,228 apl berisiko disebabkan penggunaan perpustakaan OpenSSL yang terdedah untuk menyambung ke pelayan yang terdedah. 664 daripada mereka menggunakan perpustakaan OpenSSL yang disertakan dengan Android, dan 564 menggunakan perpustakaan yang disusun secara berasingan. Menurut FireEye, di sisi iOS masalahnya kurang serius: daripada 14 ribu aplikasi yang diimbas, 771 disambungkan ke pelayan HTTPS yang terdedah. “Aplikasi ini terdedah kepada serangan FREAK di bawah versi iOS lebih rendah daripada 8.2, tulis para penyelidik. "Tujuh daripada 771 apl itu menggunakan versi OpenSSL mereka sendiri yang terdedah, dan ia kekal terdedah pada iOS 8.2." Kebanyakan apl yang terdedah jatuh ke dalam kategori yang memberi kesan kepada privasi pengguna dan keselamatan maklumat, dan termasuk apl foto dan video, apl rangkaian sosial, apl kesihatan dan kecergasan, apl kewangan, apl komunikasi, apl beli-belah, apl gaya hidup dan apl perniagaan. , sebagai serta aplikasi perubatan. Kekunci 512-bit ialah artifak peperangan kriptografi - kerajaan AS telah meluluskannya untuk kegunaan eksport. Kebanyakan pakar percaya bahawa sokongan untuk pakej kripto yang lemah telah dialih keluar daripada kebanyakan pelayan, tetapi ini tidak berlaku sehingga laporan dibuat oleh Microsoft Research dan INRIA (sebuah institut penyelidikan kebangsaan di Perancis yang bekerja dalam bidang tersebut. Sains Komputer, teori kawalan dan matematik gunaan).

Kajian King's College juga menunjukkan bahawa pentadbir pelayan dan penyedia teknologi utama dengan cepat menghapuskan sokongan untuk pakej crypto yang lemah. Pengiraan awal menunjukkan 26% pelayan terdedah kepada FREAK, tetapi King's College menentukan jumlah itu telah menurun kepada sekitar 11%. Pada masa yang sama, eksploitasi FREAK mempunyai hadnya, menurut pakar, kerana ia memerlukan campur tangan aktif oleh penyerang dalam sambungan TLS, iaitu, mereka mesti sudah mempunyai akses kepada pelayan. Tod Beardsley, ketua jurutera di Rapid7, berkata demikian kesan praktikal terhad oleh pepijat ini. "Oleh kerana keperluannya untuk lelaki di tengah-tengah yang aktif, pepijat ini boleh menjadi sangat berguna untuk pengintip yang menyasarkan pengguna tertentu dalam persekitaran rangkaian keselamatan tinggi," katanya. - Ini tidak begitu berguna untuk penjenayah internet biasa, kerana terdapat banyak lagi cara mudah untuk mengubah hala dan mengumpul trafik pengguna pada tahap kesukaran yang berbeza."

Oleh itu, 35% bank mudah alih untuk iOS dan 15% bank mudah alih untuk Android mengandungi kelemahan yang dikaitkan dengan pengendalian SSL yang salah, yang bermaksud bahawa data pembayaran kritikal boleh dipintas menggunakan serangan lelaki di tengah. 22% daripada apl iOS berpotensi terdedah kepada suntikan SQL, mewujudkan risiko mencuri semua maklumat pembayaran dengan beberapa pertanyaan mudah. 70% aplikasi iOS dan 20% aplikasi Android berpotensi terdedah kepada XSS - salah satu serangan paling popular yang membolehkan anda mengelirukan pengguna pelanggan perbankan mudah alih dan dengan itu, sebagai contoh, mencuri data pengesahannya. 45% daripada aplikasi iOS berpotensi terdedah kepada serangan XXE, terutamanya berbahaya untuk peranti yang tertakluk kepada operasi jailbreak yang begitu popular di Rusia. Kira-kira 22% daripada apl Android menyalahgunakan mekanisme komunikasi antara proses, dengan berkesan membenarkan apl pihak ketiga mengakses data perbankan sensitif.

Mengapa sistem pengendalian tertentu ini diserang? OS Android dan iOS adalah yang paling biasa hari ini dan ada nombor terhebat mudah alih aplikasi perbankan dalam Google Play dan App Store masing-masing). Dengan akses fizikal, penyerang boleh mendapatkan akses kepada sistem fail. Jika aplikasi menyimpan data pengesahan atau data sensitif lain dalam teks yang jelas, maka mudah bagi penyerang untuk mendapatkan data ini dan mencuri wang.

Untuk menyerang melalui aplikasi hasad, anda perlu memasang perisian hasad menggunakan kejuruteraan sosial atau serangan Drive-by-Dowload.

Selepas memasang aplikasi berniat jahat, penyerang boleh meningkatkan keistimewaannya dalam sistem menggunakan eksploitasi untuk kelemahan OS telefon pintar dan mendapatkan akses jauh ke peranti dengan hak penuh akses, yang akan membawa kepada kompromi lengkap peranti: penyerang akan dapat mencuri data pengguna perbankan mudah alih yang kritikal atau menggantikan data transaksi pembayaran.

Serangan komunikasi: Serangan man-in-the-middle klasik memintas data antara peranti klien dan pelayan. Untuk melakukan ini, anda mesti berada dalam rangkaian yang sama dengan mangsa, contohnya di tempat awam Rangkaian Wi-Fi atau gunakan pusat akses wayarles palsu dan stesen pangkalan palsu. Kerentanan dalam aplikasi mudah alih diperlukan: operasi penyulitan data yang tidak betul atau kekurangan penyulitan data sepenuhnya. Contoh yang paling biasa ialah SSL tidak berfungsi dengan betul. Akibatnya, penyerang boleh mencuri dengar dan menggantikan data yang dihantar, yang akhirnya boleh menyebabkan kecurian dana daripada akaun pelanggan. Perlu diingat juga bahawa menjailbreak peranti (iOS) atau mempunyai akses root pada peranti pengguna (Android) dengan ketara mengurangkan tahap keselamatan peranti dan memudahkan penyerang untuk menyerang.

Aplikasi untuk platform mudah alih terdedah kepada ancaman lama yang terkenal dan ancaman baharu yang belum dikaji sepenuhnya. Penyebaran aplikasi Android berniat jahat semakin berkembang.

Ancaman keselamatan kepada bank mudah alih mewujudkan risiko menjejaskan data pengguna kritikal, kecurian dana dan merosakkan reputasi bank. Pembangun pelanggan perbankan mudah alih tidak memberi perhatian yang cukup kepada isu keselamatan aplikasi dan tidak mengikut garis panduan pembangunan selamat. Pembangun sering kekurangan proses untuk membangunkan kod dan seni bina selamat.

Kajian itu, berdasarkan analisis kod statik, menunjukkan bahawa bank mudah alih mengandungi kelemahan dan kekurangan yang boleh membawa kepada kecurian dana. Tahap keselamatan bank mudah alih dalam kebanyakan kes tidak melebihi tahap keselamatan aplikasi mudah alih konvensional, manakala risiko yang berkaitan dengannya membayangkan peningkatan keperluan keselamatan.

Sebelum permulaan kajian, adalah diandaikan bahawa bilangan kelemahan khusus untuk platform mudah alih akan jauh melebihi bilangan yang diketahui umum. Tetapi akibatnya, anda boleh melihat lebih kurang jumlah kelemahan yang sama dalam kedua-dua kelas. Ini bermakna mempunyai kebolehan untuk berkelakuan dengan baik serangan yang diketahui dan kepada aplikasi perbankan mudah alih tanpa pengetahuan tentang spesifikasinya.

Penyerang mempunyai banyak cara untuk melakukan serangan. Selain itu, kos untuk melakukan serangan dalam persekitaran sebenar boleh menjadi sangat rendah berbanding dengan faedah yang mungkin.

Alat perlindungan moden untuk peranti mudah alih - penyelesaian MDM antivirus, dsb. boleh mengurangkan risiko, tetapi tidak menyelesaikan keseluruhan masalah. Keselamatan mesti diperkenalkan pada peringkat reka bentuk sistem dan hadir pada semua peringkat kitaran hayat program, termasuk fasa pembangunan dan pelaksanaan. Ia adalah perlu untuk menjalankan audit kod, analisis keselamatan aplikasi, dan ujian penembusan.

Risiko apabila menggunakan perbankan mudah alih adalah berkadar songsang dengan keselamatan aplikasi. Oleh itu, audit menyeluruh terhadap keselamatan aplikasi perbankan mudah alih adalah perlu. Pakar keselamatan maklumat perbankan seharusnya tidak kurang memberi perhatian kepada keselamatan bank mudah alih berbanding keselamatan bank Internet.

V. A. Artamonov

ISU KESELAMATAN DALAM PERANTI, SISTEM DAN APLIKASI MUDAH ALIH

Bahagian 5

Ancaman dan kelemahan aplikasi mudah alih

Dalam dunia moden organisasi dan individu semakin bergantung pada aplikasi perisian mudah alih untuk menyokong inisiatif perniagaan kritikal misi mereka. Ini bermakna keselamatan aplikasi mudah alih harus menjadi keutamaan utama strategi keselamatan untuk proses perniagaan organisasi dan individu yang menggunakan teknologi transaksi mudah alih, termasuk perbankan.

Dengan peningkatan populariti pembangunan aplikasi mudah alih, keamatan modal mereka meningkat, dan bersama-sama dengan ini, keinginan penyerang untuk memindahkan modal ini ke akaun mereka. Banyak moden program mudah alih melibatkan pembelian dalaman, serta menghantar SMS kepada nombor berbayar, ini adalah kelemahan yang boleh dieksploitasi oleh penggodam. Satu perkara ialah kos untuk membuat aplikasi mudah alih, dan perkara lain ialah kos untuk menjadikannya selamat. Terdapat sejumlah besar mekanisme untuk menggodam dan mengekstrak wang daripada peranti mudah alih; algoritma baharu muncul setiap tahun, tetapi pada masa yang sama, pasukan balas yang mampu menangani ancaman tepat pada masanya semakin berkembang. Sistem tertutup, khususnya iOS, paling tidak terdedah kepada aliran ini, kerana seni binanya direka sedemikian rupa sehingga hampir mustahil untuk virus muncul di dalamnya.

Antara lain, membangunkan aplikasi untuk iPhone, secara amnya, bukanlah idea yang murah; lebih mudah untuk mendaftar kod berniat jahat untuk sistem lain. Pembangunan aplikasi untuk Android adalah lebih mudah dan lebih terdedah; harga untuknya, bagaimanapun, juga lebih rendah. Masalah perlindungan yang berkesan amat meruncing apabila bekerja dengan e-mel peribadi atau aplikasi perbankan, di mana sebarang kecurian data boleh menyebabkan risiko dan kerugian kewangan yang besar. Pembangun merumitkan prosedur kebenaran dalam program sedemikian dengan memperkenalkan cek tambahan ketulenan, bagaimanapun, adalah penting di sini untuk tidak melintasi garisan rapuh itu apabila prosedur log masuk akaun ternyata terlalu memakan masa dan menyusahkan.

Penyelidikan yang dijalankan oleh IBM X-Force jelas menunjukkan peratusan ketara kelemahan yang berkaitan dengan aplikasi mudah alih dan WEB. Untuk melindungi aplikasi mudah alih mereka dengan berkesan, organisasi perlu menjalankan ujian menyeluruh terhadap perisian sokongan dan aplikasi itu sendiri. Pengujian dan pengesahan awal dalam penggunaan teknologi mudah alih boleh membantu mengurangkan kos keselamatan.

Penyelesaian keselamatan aplikasi harus menangani isu berikut:

– Meningkatkan kecekapan pengurusan program keselamatan aplikasi;

– Analisis kod sumber, WEB dan aplikasi mudah alih untuk kelemahan;

– Automasi keputusan ujian statik dan dinamik aplikasi;

–Urus ujian aplikasi, laporan dan dasar daripada konsol tunggal, termasuk ujian kotak telus (satu bentuk Ujian Keselamatan Aplikasi Interaktif (IAST).

Klasifikasi aplikasi untuk peranti mudah alih.

Aplikasi untuk peranti mudah alih boleh dikelaskan mengikut banyak kriteria, tetapi dalam konteks keselamatan aplikasi, kami berminat dengan perkara berikut: mengikut lokasi aplikasi dan mengikut jenis teknologi pemindahan data yang digunakan.

Mengikut lokasi permohonan:

  • Aplikasi SIM – aplikasi pada kad SIM, ditulis mengikut piawaian Kit Alat Aplikasi SIM (STK);
  • Aplikasi web – versi khas tapak Web;
  • aplikasi mudah alih ialah aplikasi yang dibangunkan untuk OS mudah alih tertentu menggunakan API khusus yang dipasang pada telefon pintar.

Mengikut jenis teknologi yang digunakan untuk berinteraksi dengan pelayan:

  • Aplikasi rangkaian - gunakan protokol komunikasi mereka sendiri melalui TCP/IP, seperti HTTP;
  • Aplikasi SMS – aplikasi berdasarkan SMS (Perkhidmatan Pesanan Ringkas);
  • Aplikasi bertukar maklumat dengan pelayan menggunakan mesej teks pendek;
  • Aplikasi USSD ialah aplikasi berdasarkan USSD (Data Perkhidmatan Tambahan Tidak Berstruktur). Perkhidmatan ini berdasarkan penghantaran mesej ringkas, sama seperti SMS, tetapi mempunyai beberapa perbezaan;
  • Aplikasi IVR ialah aplikasi berasaskan teknologi IVR (Interactive Voice Response). Sistem ini berdasarkan pra-rakam mesej suara dan dail nada.

Ia ialah aplikasi yang dibangunkan untuk OS mudah alih tertentu menggunakan API khusus, dipasang dalam telefon pintar atau alat lain untuk berinteraksi dengan perkhidmatan yang sepadan, yang kini paling biasa, kerana mereka menggunakan sepenuhnya keupayaan peranti mudah alih dan mempunyai yang paling mesra. antaramuka pengguna.

Menilai tahap keselamatan beberapa aplikasi.

Syarikat Viaforensics menjalankan kajian unik dalam bidang menilai keselamatan aplikasi mudah alih, yang akhirnya menghasilkan data yang cukup menarik. Penyelidik dari syarikat ini memilih 30 program aplikasi mudah alih popular secara rawak dan tertakluk kepada ujian kebolehpercayaan yang serius. Akibatnya, kira-kira satu perempat daripada penyelesaian yang diumumkan telah dibuka oleh penggodaman dan dipanggil tidak selamat. Pakar dapat menggunakan pengaruh luar untuk mengekstrak kod PIN dan nombor yang disimpan daripada memori peranti kad kredit. Selain itu, dalam beberapa kes, adalah mungkin untuk memberikan akses tanpa kebenaran kepada sejarah pembayaran. Sudah tentu, keadaan ini kelihatan agak menyedihkan; atas sebab-sebab yang jelas, Viaforensics tidak melaporkan aplikasi mana yang kita bicarakan.

Pakar dari syarikat analisis Digital Security juga ambil perhatian bahawa terdapat banyak cara untuk menembusi sistem keselamatan aplikasi mudah alih. Ini termasuk manipulasi saluran data, kemungkinan suntikan tersembunyi kenyataan SQL, hak akses yang salah dan banyak lagi. Hari ini, pembangunan aplikasi untuk telefon bimbit dilakukan untuk pelanggan dalam masa yang singkat, jadi pembangun tidak mempunyai masa untuk memberi perhatian yang mencukupi kepada isu keselamatan.

Mengetahui pendekatan biasa pelanggar terhadap penggodaman, anda boleh menjadi lebih yakin dalam perlindungan peranti anda, kerana masa ini teknik ini lebih kurang tetap, kebanyakan corak dijangka. Jika anda sedang mencari tempat untuk memesan pembangunan aplikasi iOS, khususnya untuk urus niaga kewangan, beri perhatian hanya kepada pengaturcara terbukti yang bersedia untuk mengambil alih penciptaan sistem yang berkuasa akses selamat. Adalah wajar bahawa penyelesaian itu ditulis pada mulanya sedemikian rupa sehingga algoritma penipuan standard tidak berfungsi padanya. Apabila aplikasi berjalan, data boleh dihantar melalui saluran komunikasi dalam teks yang jelas; penawar yang baik dalam kes ini ialah penyulitan data kekal, yang sering digunakan dalam program lanjutan. Selain itu, sistem keselamatan yang lengkap mesti dikemas kini sepanjang masa.

Aplikasi pada setiap platform mempunyai kedua-dua penulisan khusus mereka sendiri dan ancaman khusus mereka sendiri, pelaksanaannya boleh membawa kepada kedua-dua kecurian data peribadi, termasuk data perbankan, dan penembusan ke dalam rangkaian korporat.

Keselamatan Digital menjalankan audit keselamatan pada sisi klien aplikasi pada platform mudah alih berikut:

  • Google Android;
  • Apple iOS (iPhone/iPad);
  • Java (J2ME/Java ME);
  • Telefon Windows.

Ancaman biasa.

Ancaman biasa kepada aplikasi mudah alih telah dikenal pasti termasuk:

– Data rahsia dalam bentuk yang jelas;

– Saluran penghantaran maklumat yang tidak selamat;

– Ketersediaan kod nyahpepijat;

– Pelaksanaan pernyataan SQL;

– Skrip silang tapak (XSS);

– Kekurangan semakan data masuk;

– Hak akses yang salah;

– kriptografi yang lemah.

Metodologi audit dan kandungan kerja.

Metodologi untuk mengaudit keselamatan sisi pelanggan aplikasi mudah alih, yang dibangunkan oleh Pusat Penyelidikan Keselamatan Digital, adalah berdasarkan pengalaman menganalisis keselamatan aplikasi pelbagai fungsi dan kerumitan, seperti sistem ERP, sistem perbankan automatik, bank. pelanggan, aplikasi web, sistem pengurusan pangkalan data, dll. Pendekatan analisis adalah berdasarkan kaedah penyelidikan aplikasi yang diterima umum yang diterangkan dalam dokumen seperti Keperluan PCI DSS dan Prosedur Penilaian Keselamatan, Panduan Pengujian OWASP, Keperluan PA-DSS dan Prosedur Penilaian Keselamatan, dan diperhalusi mengambil kira pengalaman penyelidikan praktikal DSecRG.

Peringkat kerja.

Proses analisis permohonan terdiri daripada beberapa langkah asas:

– Analisis seni bina bahagian klien aplikasi;

– Merangka model ancaman;

– Audit keselamatan kod;

– Ujian tekanan (kabur);

– Pelaksanaan ancaman mengikut logik aplikasi.

Analisis pakar tentang kelemahan aplikasi perbankan mudah alih.

Syarikat Jet Infosystems telah menerbitkan laporan analisis tentang kelemahan aplikasi perbankan mudah alih yang menjalankan iOS, Android dan Windows Phone. Hasil kajian menunjukkan bahawa 98% program mempunyai kelemahan dan 40% daripadanya mempunyai kelemahan kritikal.

Laporan itu berdasarkan data yang diperoleh pakar syarikat semasa tinjauan terhadap 58 aplikasi perbankan. Analisis statik dan dinamik kod sumber produk telah dijalankan. Pakar Jet Infosystems menilai tahap keselamatan interaksi kerja internet antara aplikasi mudah alih dan perkhidmatan WEB, serta tetapan sambungan selamat.

“Semasa tinjauan, kami memberi tumpuan kepada kelemahan paling mendesak yang terdedah kepada aplikasi perbankan mudah alih. Ini termasuk serangan kelas Man-In-The-Middle (“lelaki di tengah”) dan beberapa jurang yang membolehkan penyerang mencuri data sulit pengguna sistem perbankan dalam pelbagai cara,” jelas Georgy Garbuzov, ketua jabatan perunding Pusat Keselamatan Maklumat syarikat Infosistem Jet."

Ternyata setiap perlima (22%) daripada aplikasi perbankan mudah alih yang diuji menggunakan protokol pemindahan maklumat yang tidak selamat, dan setiap keempat (25%) menggunakan pengesahan pelayan WEB yang tidak selamat. Dalam 87% produk, pakar mengenal pasti perlindungan yang tidak mencukupi bagi pakej aplikasi dan komponennya, dan dalam 78%, terdapat kekurangan semakan untuk kehadiran akses istimewa yang tidak dibenarkan kepada peranti mudah alih. "Lubang" paling kritikal ditemui dalam aplikasi Android, paling sedikit dalam penyelesaian perisian yang dijalankan dalam persekitaran iOS.

Trend yang dicatat oleh pakar dalam laporan tahunan tradisional dalam bidang keselamatan sistem perbankan jauh (RBS) telah disahkan. Pembangun pelanggan perbankan mudah alih tidak memberi perhatian yang cukup kepada isu keselamatan aplikasi dan tidak mengikut garis panduan pembangunan selamat. Proses untuk membangunkan kod dan seni bina selamat selalunya kurang. Ternyata semua aplikasi yang dipertimbangkan mengandungi sekurang-kurangnya satu kelemahan yang membolehkan sama ada memintas data yang dihantar antara pelanggan dan pelayan, atau secara langsung mengeksploitasi kelemahan peranti dan aplikasi mudah alih itu sendiri. Oleh itu, 35% bank mudah alih untuk iOS dan 15% bank mudah alih untuk Android mengandungi kelemahan yang dikaitkan dengan pengendalian SSL yang salah, yang bermaksud bahawa data pembayaran kritikal boleh dipintas menggunakan serangan lelaki di tengah. 22% daripada apl iOS berpotensi terdedah kepada suntikan SQL, mewujudkan risiko mencuri semua maklumat pembayaran dengan beberapa pertanyaan mudah. 70% aplikasi iOS dan 20% aplikasi Android berpotensi terdedah kepada XSS - salah satu serangan paling popular yang membolehkan anda mengelirukan pengguna pelanggan perbankan mudah alih dan dengan itu, sebagai contoh, mencuri data pengesahannya. 45% daripada aplikasi iOS berpotensi terdedah kepada serangan XXE, yang sangat berbahaya untuk peranti yang telah dipenjara, yang begitu popular di Rusia. Kira-kira 22% daripada apl Android menyalahgunakan mekanisme komunikasi antara proses, dengan itu membolehkan apl pihak ketiga mengakses data perbankan sensitif dengan berkesan.

Perlindungan.

Ia adalah perlu untuk menggunakan keupayaan kriptografi peranti, menyulitkan data kritikal dan, jika perlu, keupayaan untuk mengosongkan data dari jauh, serta menjalankan analisis keselamatan aplikasi yang akan membantu mengenal pasti kemungkinan kebocoran data kritikal dan penggunaan penyulitan yang salah.

Serang.

Untuk menyerang melalui aplikasi hasad, penyerang perlu memasang aplikasi hasad menggunakan teknik kejuruteraan sosial atau serangan Pandu-demi-Muat Turun.

Selepas memasang aplikasi berniat jahat, penyerang boleh meningkatkan keistimewaannya dalam sistem menggunakan eksploitasi untuk kelemahan dalam OS telefon pintar dan mendapatkan akses jauh ke peranti dengan hak akses penuh, yang akan membawa kepada kompromi lengkap peranti: penyerang akan dapat mencuri data pengguna perbankan mudah alih yang kritikal atau menggantikan operasi data pembayaran.

Perlindungan.

Ia adalah perlu untuk mengemas kini perisian pada peranti, gunakan perisian perlindungan dan meningkatkan kesedaran pengguna tentang isu keselamatan maklumat.

Serangan pada saluran komunikasi.

Serangan man-in-the-middle klasik memintas data antara peranti klien dan pelayan. Ini memerlukan berada pada rangkaian yang sama dengan mangsa, seperti rangkaian Wi-Fi awam, atau menggunakan pusat akses wayarles palsu dan stesen pangkalan palsu. Prasyarat: kelemahan dalam aplikasi mudah alih, penyulitan data yang dihantar yang salah, atau kekurangan penyulitan data sepenuhnya. Contoh yang paling biasa ialah pengendalian SSL yang salah. Akibatnya, penyerang boleh mencuri dengar dan menggantikan data yang dihantar, yang akhirnya boleh menyebabkan kecurian dana daripada akaun pelanggan.

Perlindungan.

Pelaksanaan yang betul untuk bekerja dengan SSL. Ia juga disyorkan bahawa dalam aplikasi mudah alih, apabila menyambung ke pelayan, anda hanya mempercayai sijil SSL bank. Ini akan membantu jika pihak berkuasa sijil akar terjejas.

Perlu diingat juga bahawa menjailbreak peranti (iOS) atau mempunyai akses root pada peranti pengguna (Android) dengan ketara mengurangkan tahap keselamatan peranti dan memudahkan penyerang untuk menyerang.

Kesimpulan:

Aplikasi untuk platform mudah alih terdedah kepada ancaman lama yang terkenal dan ancaman baharu yang belum dikaji sepenuhnya. Penyebaran aplikasi Android berniat jahat semakin berkembang.

Ancaman keselamatan kepada bank mudah alih mewujudkan risiko menjejaskan data pengguna kritikal, kecurian dana dan merosakkan reputasi bank.

Pembangun pelanggan perbankan mudah alih tidak memberi perhatian yang cukup kepada isu keselamatan aplikasi dan tidak mengikut garis panduan pembangunan selamat. Pembangun sering kekurangan proses untuk membangunkan kod dan seni bina selamat.

  • Maklumkan pengaturcara tentang isu keselamatan;
  • Bina keselamatan ke dalam seni bina;
  • Menjalankan audit kod;
  • Menjalankan analisis keselamatan aplikasi;
  • Menguatkuasakan pilihan penyusun berkaitan keselamatan;
  • Kawal pengedaran aplikasi di Internet;
  • Tutup kelemahan dengan cepat dan keluarkan kemas kini.

Di atas menunjukkan bahawa perbankan mudah alih mengandungi kelemahan dan kekurangan yang boleh menyebabkan kecurian dana. Tahap keselamatan bank mudah alih dalam kebanyakan kes tidak melebihi tahap keselamatan aplikasi mudah alih konvensional, manakala risiko yang berkaitan dengannya membayangkan peningkatan keperluan keselamatan.

Alat perlindungan moden untuk peranti mudah alih - antivirus, penyelesaian MDM, dsb. – boleh mengurangkan risiko, tetapi tidak menyelesaikan keseluruhan masalah. Keselamatan mesti diperkenalkan pada peringkat reka bentuk sistem dan hadir pada semua peringkat kitaran hayat program, termasuk peringkat pembangunan dan pelaksanaan. Ia adalah perlu untuk menjalankan audit kod, analisis keselamatan aplikasi, dan ujian penembusan.

Risiko apabila menggunakan perbankan mudah alih adalah berkadar songsang dengan keselamatan aplikasi. Oleh itu, audit menyeluruh terhadap keselamatan aplikasi perbankan mudah alih adalah perlu.

1. Mendidik pengaturcara tentang isu keselamatan.

2. Bina keselamatan ke dalam seni bina.

3. Menjalankan audit kod.

4. Menjalankan analisis keselamatan aplikasi.

5. Menguatkuasakan pilihan penyusun berkaitan keselamatan.

6. Kawal pengedaran aplikasi di Internet.

7. Tutup kelemahan dengan cepat dan keluarkan kemas kini.

kesusasteraan

  1. Yakushin Petr. Keselamatan perusahaan mudah alih// Sistem terbuka № 01, 2013.
  2. Pusat Analisis InfoWatch. Kajian Kebocoran Global maklumat korporat dan data sulit, 2014.
  3. Shetko Nikolay. Berbuka rangkaian selular GSM: dotting the i’s // ET CETERA – satu siri majalah digital yang diedarkan melalui langganan No. 32, 2013.
  4. Korzhov Valery. Kelajuan dan keselamatan dalam LTE // “Rangkaian/dunia rangkaian” No. 6, 2012.
  5. 802.11i-2004 – Piawaian IEEE untuk Rangkaian Kawasan Setempat dan Metropolitan – Keperluan khusus – Bahagian 11: Spesifikasi Kawalan Akses Sederhana LAN Wayarles (MAC) dan Lapisan Fizikal (PHY): Pindaan 6: Peningkatan Keselamatan Kawalan Akses Sederhana (MAC), 2004.
  6. Belorusov D.I. Wi-Fi – rangkaian dan ancaman kepada keselamatan maklumat / D.I. Belorusov, M.S. Koreshkov // TEKNOLOGI KHAS No. 6, 2009; Dengan. 2-6.
  7. Trifonov Dmitry. Cara Wi-Fi korporat digodam: peluang baharu. [Elektrik. semula ]// Pusat Penyelidikan Teknologi Positif. URL: http://www.securitylab.ru/analytics/471816.php.
  8. Keselamatan aplikasi. Laporan analisis IBM X-Force.[Sumber elektronik]//URL Tetap: http://www.ibm.com/software/products/ru/category/application-security.
  9. Analisis keselamatan aplikasi mudah alih (bahagian pelanggan). Laporan analisis daripada Digital Security.

[Sumber elektronik]//URL Kekal: http://www.dsec.ru/services/security-analysis/mobile-applications/.

10. 40% daripada aplikasi perbankan mudah alih mempunyai kelemahan kritikal. Laporan analisis syarikat Jet Infosystems/ [Sumber elektronik]// URL Tetap: http://servernews.ru/910462

11. Minozhenko Alexander. Keselamatan aplikasi perbankan mudah alih/ [Sumber elektronik]// URL Kekal:

Ketua Penyelidik Keselamatan Maklumat di Keselamatan Digital

Setiap OS mudah alih mempunyai spesifikasi tersendiri; dalam setiap satu daripadanya anda boleh menemui sejumlah besar kelemahan baharu dan terkenal.

Hasil utama kajian

Trend yang dicatat oleh pakar dalam laporan tahunan tradisional dalam bidang keselamatan sistem perbankan jauh telah disahkan. Pembangun pelanggan perbankan mudah alih tidak memberi perhatian yang cukup kepada isu keselamatan aplikasi dan tidak mengikut garis panduan pembangunan selamat. Proses untuk membangunkan kod dan seni bina selamat selalunya kurang. Ternyata semua aplikasi yang dipertimbangkan mengandungi sekurang-kurangnya satu kelemahan yang membolehkan sama ada memintas data yang dihantar antara pelanggan dan pelayan, atau secara langsung mengeksploitasi kelemahan peranti dan aplikasi mudah alih itu sendiri.

Oleh itu, 35% bank mudah alih untuk iOS dan 15% bank mudah alih untuk Android mengandungi kelemahan yang dikaitkan dengan pengendalian SSL yang salah, yang bermaksud bahawa data pembayaran kritikal boleh dipintas menggunakan serangan lelaki di tengah. 22% daripada apl iOS berpotensi terdedah kepada suntikan SQL, mewujudkan risiko mencuri semua maklumat pembayaran dengan beberapa pertanyaan mudah. 70% aplikasi iOS dan 20% aplikasi Android berpotensi terdedah kepada XSS - salah satu serangan paling popular yang membolehkan anda mengelirukan pengguna pelanggan perbankan mudah alih dan dengan itu, sebagai contoh, mencuri data pengesahannya. 45% daripada aplikasi iOS berpotensi terdedah kepada serangan XXE, yang sangat berbahaya untuk peranti yang telah dipenjara, yang begitu popular di Rusia. Kira-kira 22% daripada apl Android menyalahgunakan mekanisme komunikasi antara proses, dengan berkesan membenarkan apl pihak ketiga mengakses data perbankan sensitif.

dunia mudah alih

Memandangkan peningkatan populariti aplikasi perbankan mudah alih, terdapat kebimbangan serius tentang keselamatan mereka, kerana jurang dalam sistem keselamatan boleh membawa kepada kerugian kewangan untuk beratus-ratus berpuluh-puluh pengguna. Pasukan Keselamatan Digital menjalankan kajian mengumpul ancaman, kelemahan dan vektor serangan untuk pelanggan bank yang dibangunkan untuk platform mudah alih (Android dan iOS). Aplikasi perbankan mudah alih lebih daripada 30 bank Rusia telah dikaji, termasuk bank St. Petersburg, Baltika, Bank24.ru, BFA, VTB; VTB24, Gazprombank. Investbank, Krayinvest-bank, KS Bank, Master-Bank MDM Bank, Moscow Industrial Bank, Moscow Credit Bank MTS-Bank, NOMOS-Bank; PrimSotsBank, Promsvyazbank, Rosbank, RosEvro-Bank, Standard Rusia. Sberbank, dsb.

OS mudah alih yang popular

Mengapakah sistem pengendalian tertentu ini dikaji? OS Android dan iOS adalah yang paling biasa hari ini dan mempunyai bilangan aplikasi perbankan mudah alih terbesar di kedai mereka (masing-masing Google Play dan App Store).

OS Windows Phone agak muda dan belum begitu meluas di kalangan pengguna, tetapi ia sudah mempunyai sebilangan kecil aplikasi perbankan mudah alih di kedainya (Windows Store). Aplikasi untuk Windows Phone OS tidak disertakan dalam kajian ini kerana bilangannya yang kecil pada masa ini (hanya terdapat 9 daripadanya dalam Gedung Windows). Tetapi diberi kemunculan Windows Telefon 8, yang mengandungi model pembangunan baharu yang membolehkan (berkat pemindahan mudah) pembangunan serentak aplikasi untuk OS Windows 8 biasa dan OS mudah alih, kita boleh menjangkakan peningkatan dalam populariti pembangunan untuk Windows Phone 8.

Klasifikasi aplikasi untuk peranti mudah alih

Aplikasi untuk peranti mudah alih boleh dikelaskan mengikut banyak kriteria, tetapi dalam konteks keselamatan aplikasi, kami berminat dengan perkara berikut: mengikut lokasi aplikasi dan mengikut jenis teknologi pemindahan data yang digunakan.

Mengikut lokasi permohonan:

  • Aplikasi SIM - aplikasi pada kad SIM, ditulis mengikut piawaian Kit Alat Aplikasi SIM (STK);
  • Aplikasi web - versi khas tapak Web;
  • aplikasi mudah alih ialah aplikasi yang dibangunkan untuk OS mudah alih tertentu menggunakan API khusus yang dipasang pada telefon pintar.

Mengikut jenis teknologi yang digunakan untuk berinteraksi dengan pelayan:

  • aplikasi rangkaian - gunakan protokol komunikasi mereka sendiri melalui TCP/IP, seperti HTTP;
  • Aplikasi SMS adalah aplikasi berasaskan SMS (Short Messaging Service).
  • Aplikasi bertukar maklumat dengan pelayan menggunakan mesej teks pendek;
  • Aplikasi USSD ialah aplikasi berdasarkan USSD (Data Perkhidmatan Tambahan Tidak Berstruktur). Perkhidmatan ini berdasarkan penghantaran mesej ringkas, sama seperti SMS, tetapi mempunyai beberapa perbezaan;
  • Aplikasi IVR ialah aplikasi berasaskan teknologi IVR (Interactive Voice Response). Sistem ini berdasarkan mesej suara prarakam dan dail nada.

Ia adalah aplikasi yang dibangunkan untuk OS mudah alih tertentu menggunakan API khusus, dipasang pada telefon pintar untuk berinteraksi dengan perkhidmatan perbankan yang sepadan, yang kini paling biasa, kerana mereka menggunakan sepenuhnya keupayaan peranti mudah alih dan mempunyai antara muka pengguna yang paling mesra. . Kami menganggap mereka dalam kajian ini.

Jenis Permohonan untuk perbankan mudah alih

Kategori "tanpa akses akaun" termasuk program yang hanya melaksanakan kerja tambahan. Fungsi ini juga mungkin terdapat dalam aplikasi yang mempunyai keupayaan untuk berfungsi dengan akaun. Selalunya, aplikasi mudah alih berkembang daripada aplikasi navigasi mudah kepada aplikasi dengan keupayaan untuk bekerja dengan akaun. Sesetengah bank, sebaliknya, lebih suka mengedarkan fungsi ini di beberapa aplikasi, yang, dari sudut pandangan kami, adalah betul: jika aplikasi kritikal (melakukan transaksi pembayaran) tidak dibebani dengan fungsi yang tidak perlu, bilangan vektor serangan yang tersedia untuk penyerang dikurangkan. Kajian ini mengkaji aplikasi akses akaun.

Metodologi untuk menganalisis keselamatan aplikasi mudah alih

Apabila menganalisis keselamatan aplikasi mudah alih, keselamatan tiga komponen utama dinilai: bahagian pelayan, bahagian klien dan saluran komunikasi.

Kaedah untuk menilai keselamatan aplikasi pelanggan:

  1. Analisis dinamik:

    • menyahpepijat aplikasi yang sedang berjalan (pada emulator atau peranti);
    • kabur;
    • analisis trafik rangkaian;
    • analisis interaksi dengan sistem fail;
    • analisis memori aplikasi.

  2. Analisis statik: analisis kod sumber (jika ada);

    • kejuruteraan terbalik;
    • pembongkaran;
    • dekompilasi;
    • analisis perwakilan yang terhasil untuk bahagian kod yang lemah.

Model Penceroboh

1. Penyerang yang mempunyai akses fizikal kepada peranti klien. Walau bagaimanapun, peranti tidak mempunyai kunci skrin yang didayakan dan tidak menggunakan penyulitan.

2. Penyerang yang tidak mempunyai akses kepada peranti, terletak di sebelah mangsa dan mampu melakukan serangan lelaki di tengah.

3. Penyerang yang memuat turun aplikasi berniat jahatnya ke peranti klien menggunakan kedai aplikasi rasmi atau kaedah lain.

Serangan ke atas bahagian pelayan tidak berbeza dengan serangan ke atas sistem konvensional DBO.

Serangan ke atas bahagian klien boleh jika ada:

  • akses fizikal kepada peranti;
  • aplikasi berniat jahat pada peranti;
  • keupayaan untuk mengawal saluran, contohnya akibat serangan lelaki di tengah.

Dengan akses fizikal, penyerang boleh mendapatkan akses kepada sistem fail. Jika aplikasi menyimpan data pengesahan atau data sensitif lain dalam teks yang jelas, atau data kritikal dibocorkan dalam teks yang jelas, maka adalah mudah bagi penyerang untuk mendapatkan data ini dan mencuri wang.

Perlindungan: menggunakan keupayaan kriptografi peranti, menyulitkan data kritikal dan, jika perlu, keupayaan untuk mengosongkan data dari jauh, serta menjalankan analisis keselamatan aplikasi yang akan membantu mengenal pasti kemungkinan kebocoran data kritikal dan penggunaan penyulitan yang salah.

Untuk menyerang melalui aplikasi hasad, anda perlu memasang aplikasi hasad menggunakan teknik kejuruteraan sosial atau melalui serangan Drive-by-Download.

Selepas memasang aplikasi berniat jahat, penyerang boleh meningkatkan keistimewaannya dalam sistem menggunakan eksploitasi untuk kelemahan dalam OS telefon pintar dan mendapatkan akses jauh ke peranti dengan hak akses penuh, yang akan membawa kepada kompromi lengkap peranti: penyerang akan dapat mencuri data pengguna perbankan mudah alih yang kritikal atau menggantikan operasi data pembayaran.

Perlindungan: kemas kini perisian pada peranti, gunakan alat keselamatan perisian dan tingkatkan kesedaran pengguna tentang isu keselamatan maklumat.

Serangan komunikasi: Serangan man-in-the-middle klasik memintas data antara peranti klien dan pelayan. Ini memerlukan berada pada rangkaian yang sama dengan mangsa, seperti rangkaian Wi-Fi awam, atau menggunakan pusat akses wayarles palsu dan stesen pangkalan palsu. Kerentanan dalam aplikasi mudah alih diperlukan: operasi penyulitan data yang tidak betul atau kekurangan penyulitan data sepenuhnya. Contoh yang paling biasa ialah SSL tidak berfungsi dengan betul. Akibatnya, penyerang boleh mencuri dengar dan menggantikan data yang dihantar, yang akhirnya boleh menyebabkan kecurian dana daripada akaun pelanggan.

Perlindungan: pelaksanaan yang betul untuk bekerja dengan SSL. Ia juga disyorkan bahawa dalam aplikasi mudah alih, apabila menyambung ke pelayan, anda hanya mempercayai sijil SSL bank. Ini akan membantu jika pihak berkuasa sijil akar terjejas.

Perlu diingat juga bahawa menjailbreak peranti (iOS) atau mempunyai akses root pada peranti pengguna (Android) dengan ketara mengurangkan tahap keselamatan peranti dan memudahkan penyerang untuk menyerang.

kesimpulan

Aplikasi untuk platform mudah alih terdedah kepada ancaman lama yang terkenal dan ancaman baharu yang belum dikaji sepenuhnya. Penyebaran aplikasi Android berniat jahat semakin berkembang.

Ancaman keselamatan kepada bank mudah alih mewujudkan risiko menjejaskan data pengguna kritikal, kecurian dana dan merosakkan reputasi bank. Pembangun pelanggan perbankan mudah alih tidak memberi perhatian yang cukup kepada isu keselamatan aplikasi dan tidak mengikut garis panduan pembangunan selamat. Pembangun sering kekurangan proses untuk membangunkan kod dan seni bina selamat.

Kajian itu, berdasarkan analisis kod statik, menunjukkan bahawa bank mudah alih mengandungi kelemahan dan kekurangan yang boleh membawa kepada kecurian dana. Tahap keselamatan bank mudah alih dalam kebanyakan kes tidak melebihi tahap keselamatan aplikasi mudah alih konvensional, manakala risiko yang berkaitan dengannya membayangkan peningkatan keperluan keselamatan.

Sebelum permulaan kajian, adalah diandaikan bahawa bilangan kelemahan khusus untuk platform mudah alih akan jauh melebihi bilangan yang diketahui umum. Tetapi akibatnya, anda boleh melihat lebih kurang bilangan kelemahan yang sama bagi kedua-dua kelas. Ini bermakna adalah mungkin untuk melakukan serangan yang terkenal pada aplikasi perbankan mudah alih tanpa pengetahuan tentang spesifiknya. Keputusan yang diperolehi bertindih dengan 10 Risiko Mudah Alih Teratas OWASP.

Penyerang mempunyai banyak cara untuk melakukan serangan. Selain itu, kos untuk melakukan serangan dalam persekitaran sebenar boleh menjadi sangat rendah berbanding dengan faedah yang mungkin.

Alat perlindungan moden untuk peranti mudah alih - antivirus, penyelesaian MDM, dsb. - boleh mengurangkan risiko, tetapi tidak menyelesaikan keseluruhan masalah. Keselamatan mesti diperkenalkan pada peringkat reka bentuk sistem dan hadir pada semua peringkat kitaran hayat program, termasuk peringkat pembangunan dan pelaksanaan. Ia adalah perlu untuk menjalankan audit kod, analisis keselamatan aplikasi, dan ujian penembusan.

Risiko apabila menggunakan perbankan mudah alih adalah berkadar songsang dengan keselamatan aplikasi. Oleh itu, audit menyeluruh terhadap keselamatan aplikasi perbankan mudah alih adalah perlu. Pakar keselamatan maklumat bank harus memberi perhatian yang tidak kurang kepada keselamatan bank mudah alih berbanding keselamatan bank Internet.

  1. Mendidik pengaturcara tentang isu keselamatan.
  2. Bina keselamatan ke dalam seni bina.
  3. Menjalankan audit kod.
  4. Menjalankan analisis keselamatan aplikasi.
  5. Kuatkuasakan pilihan pengkompil berkaitan keselamatan.
  6. Kawal pengedaran aplikasi di Internet.
  7. Tutup kelemahan dengan cepat dan keluarkan kemas kini.

Tahun lepas pusat penyelidikan Keselamatan Digital mengeluarkan laporan “Hasil kajian tentang keselamatan pelanggan bank Pengeluar Rusia untuk tempoh 2009-2011”, di mana kami berkongsi pengalaman kami dalam menganalisis sistem perbankan jauh dan keputusan yang mengecewakan dalam menilai keselamatan mereka.

Kami tidak berdiam diri dan cuba melakukan hari ini apa yang akan diminta esok. Kajian ini menerangkan ancaman, kelemahan dan vektor serangan untuk pelanggan bank yang dibangunkan untuk platform mudah alih (Android dan iOS).

Teknologi mudah alih sedang giat membangun; keperluan perniagaan moden adalah sedemikian rupa sehingga maklumat mesti diakses dengan cepat, boleh dipercayai dan dari mana-mana sahaja di dunia. Apl pembayaran tidak terkecuali, dan ia muncul secara beransur-ansur pada peranti mudah alih kami (telefon pintar, tablet, dll.). Peranti mudah alih belum lagi dikaji dengan secukupnya, dan setiap OS mudah alih (Android, iOS, Windows Phone, Symbian, BlackBerry, dll.) mempunyai spesifikasinya sendiri, jadi dalam setiap daripadanya anda boleh menemui sejumlah besar kedua-dua baru dan baik- kelemahan yang diketahui.

Aplikasi perbankan mudah alih untuk bank seperti:

Bank Alfa,

Bank "St. Petersburg" Bank "Baltika", Bank24.ru,

Bank BFA,

VTB, VTB 24, Gazprombank, Investbank, Kraiinvestbank,

Bank Induk,

Bank MDM,

Bank Perindustrian Moscow,

Bank Kredit Moscow, Mordovpromstroybank,

MTS-Bank,

Kredit rakyat

NOMOS-Bank,

Pervobank,

PrimSotsBank,

Promsvyazbank,

RosEvroBank,

RosInterBank,

piawaian Rusia,

Sberbank,

Svyaz-Bank,

Bank Smolensky,

Sistem Kredit Tinkoff, UBRD,

Kumpulan Kewangan Hayat,

Bank Khanty-Mansiysk, UniCreditBank

dan lain lain.

Apl perbankan mudah alih untuk iOS

Hanya sebilangan kecil bank mudah alih melaksanakan mekanisme keselamatan. Semua aplikasi yang disemak mengandungi sekurang-kurangnya satu kelemahan.

Kebanyakan aplikasi iOS tidak menggunakan pilihan kompilasi yang direka untuk melindungi daripada eksploitasi ralat yang berkaitan dengan pengendalian memori yang salah.

Apl perbankan mudah alih untuk Android


Berdasarkan keputusan yang diperoleh, kami telah mengumpulkan 10 bank mudah alih teratas untuk iOS dan Android dengan bilangan ancaman paling sedikit. Semasa menyusun penilaian, program telah diberikan 1 mata jika terdapat mekanisme perlindungan atau ketiadaan API yang tidak selamat bagi kelas tertentu, dan 1 mata telah ditolak dalam kes yang bertentangan. Perlu diingat bahawa 4 bank telah dimasukkan dalam kedua-dua penarafan.

10 teratas untuk iOS

10 teratas untuk Android

Bank Induk

Bank "Saint-Petersburg"

Kumpulan Kewangan Hayat

RosEvroBank

RosEvroBank

Bank Kredit Moscow

Bank "Kredit Rakyat"

Primsotsbank

Sberbank

Bank Standard Rusia"

Bank "Saint-Petersburg"

Investbank

OS Android dan iOS adalah yang paling biasa hari ini dan mempunyai bilangan aplikasi perbankan mudah alih yang terbesar di kedai mereka (masing-masing Google Play dan App Store).

OS Windows Phone agak muda dan belum begitu meluas di kalangan pengguna, tetapi ia sudah mempunyai sebilangan kecil aplikasi perbankan mudah alih di kedainya (Windows Store). Aplikasi perbankan untuk Windows Phone OS tidak disertakan dalam kajian ini kerana bilangannya yang kecil pada masa ini (hanya terdapat 9 daripadanya dalam Gedung Windows). Tetapi memandangkan kemunculan Windows Phone 8, yang mengandungi model pembangunan baharu yang membolehkan (berkat pemindahan mudah) pembangunan serentak aplikasi untuk OS Windows 8 biasa dan OS mudah alih, kita boleh menjangkakan peningkatan dalam populariti pembangunan untuk Windows Phone 8.

Aplikasi untuk peranti mudah alih boleh dikelaskan mengikut banyak kriteria, tetapi dalam konteks keselamatan aplikasi, kami berminat dengan perkara berikut: mengikut lokasi aplikasi dan mengikut jenis teknologi pemindahan data yang digunakan.

Mengikut lokasi permohonan:

Aplikasi SIM - aplikasi pada kad SIM, ditulis mengikut piawaian Kit Alat Aplikasi SIM (STK);

Aplikasi web - versi khas tapak web;

Aplikasi mudah alih ialah aplikasi yang dibangunkan untuk OS mudah alih tertentu menggunakan API khusus yang dipasang pada telefon pintar.

Mengikut jenis teknologi yang digunakan untuk berinteraksi dengan pelayan:

Aplikasi rangkaian - gunakan protokol komunikasi mereka sendiri melalui TCP/IP, seperti HTTP;

Aplikasi SMS - Aplikasi berdasarkan SMS (Perkhidmatan Pesanan Ringkas). Aplikasi bertukar maklumat dengan pelayan menggunakan mesej teks pendek;

Aplikasi USSD - aplikasi berdasarkan USSD (Data Perkhidmatan Tambahan Tidak Berstruktur). Perkhidmatan ini berdasarkan penghantaran mesej ringkas, sama seperti SMS, tetapi mempunyai beberapa perbezaan;

Aplikasi IVR ialah aplikasi berasaskan teknologi IVR (Interactive Voice Response). Sistem ini berdasarkan mesej suara prarakam dan dail nada.

Ia adalah aplikasi yang dibangunkan untuk OS mudah alih tertentu menggunakan API khusus, dipasang pada telefon pintar untuk berinteraksi dengan perkhidmatan perbankan yang sepadan, yang kini paling biasa, kerana mereka menggunakan sepenuhnya keupayaan peranti mudah alih dan mempunyai antara muka pengguna yang paling mesra. . Kami menganggap mereka dalam kajian ini.

Jenis Aplikasi Perbankan Mudah Alih

Kategori "tanpa akses akaun" termasuk program yang hanya melaksanakan kerja tambahan. Fungsi ini juga mungkin terdapat dalam aplikasi yang mempunyai keupayaan untuk berfungsi dengan akaun. Selalunya, aplikasi mudah alih berkembang daripada aplikasi navigasi mudah kepada aplikasi dengan keupayaan untuk bekerja dengan akaun. Sesetengah bank, sebaliknya, lebih suka mengedarkan fungsi ini di beberapa aplikasi, yang, dari sudut pandangan kami, adalah betul: jika aplikasi kritikal (melakukan transaksi pembayaran) tidak dibebani dengan fungsi yang tidak perlu, bilangan vektor serangan yang tersedia untuk penyerang dikurangkan.

Kajian ini mengkaji aplikasi akses akaun.

Apabila menganalisis keselamatan aplikasi mudah alih, keselamatan tiga komponen utama dinilai: bahagian pelayan, bahagian klien dan saluran komunikasi.

Kaedah untuk menilai keselamatan aplikasi pelanggan:

1. Analisis dinamik:

· Menyahpepijat aplikasi yang sedang berjalan (pada emulator atau peranti);

  • Kabur;
  • Analisis trafik rangkaian;

· Analisis interaksi dengan sistem fail;

  • Analisis memori aplikasi.

2. Analisis statik:

· Analisis kod sumber (jika ada); Kejuruteraan Terbalik:

o Pembongkaran;

o Penyusunan;

· Analisis perwakilan yang diterima untuk bahagian kod yang lemah.

1. Penyerang yang mempunyai akses fizikal kepada peranti klien. Walau bagaimanapun, peranti tidak mempunyai kunci skrin yang didayakan dan tidak menggunakan penyulitan.

2. Penyerang yang tidak mempunyai akses kepada peranti, terletak di sebelah mangsa dan mampu melakukan serangan lelaki di tengah.

3. Penyerang yang memuat turun aplikasi berniat jahatnya ke peranti klien menggunakan kedai aplikasi rasmi atau kaedah lain.

Serangan di bahagian pelayan tidak berbeza dengan serangan ke atas sistem perbankan jauh konvensional yang dibincangkan dalam laporan itu Keselamatan Digital"Hasil kajian keselamatan pelanggan bank pengeluar Rusia untuk tempoh 2009-2011."

iOS adalah mudah alih sistem operasi daripada Apple. Sistem pengendalian ini hanya bertujuan untuk peranti daripada Apple: iPod, iPhone, iPad dan Apple TV. iOS adalah berdasarkan Mac OS X. Untuk mengedarkan aplikasi untuk platform ini, kedai khas digunakan - App Store.

Untuk pembangunan, bahasa Objective-C digunakan, iaitu bahasa pengaturcaraan berorientasikan objek yang disusun. Objektif-C dibina pada bahasa pengaturcaraan C dan paradigma bahasa pengaturcaraan Smalltalk.

Statistik mengenai pembangun aplikasi perbankan mudah alih untuk bank Rusia dengan akses akaun untuk iOS

Jadual penampilan aplikasi mudah alih perbankan untuk iOS


Berdasarkan maklumat ini, kesimpulan boleh dibuat tentang kedua-dua kekerapan kemas kini dan keselamatan aplikasi. Oleh itu, SDK 4.3 menggunakan protokol TLS 1.0, yang menyokong 29 jenis penyulitan, 5 daripadanya adalah lemah. Aplikasi yang menggunakan versi SDK ini berkemungkinan terjejas.

Jenis penyulitan ini telah dialih keluar daripada versi SDK yang berikutnya.

Pilihan kompilasi PIE

PIE (Position Independent Executable) ialah mekanisme khas yang ditetapkan oleh parameter kompilasi dan tergolong dalam kelas parameter keselamatan yang bertujuan untuk merumitkan proses mengeksploitasi ralat yang berkaitan dengan kerja yang salah dengan memori. Membolehkan anda memanfaatkan sepenuhnya ASLR (Address Space Layout Randomization).

ARC (Pengiraan Rujukan Automatik) ialah mekanisme khas yang ditentukan oleh pilihan penyusunan dan secara tidak langsung boleh diklasifikasikan sebagai parameter keselamatan. Menjaga pengurusan memori dan membantu mengelakkan ralat yang berkaitan dengan kebocoran memori dan pengendalian penunjuk yang tidak betul, yang membawa kepada kelemahan bebas penggunaan dan bebas berganda.

Kerja tak betul dengan SSL

Terdapat beberapa fungsi untuk bekerja dengan sambungan SSL, penggunaannya melumpuhkan pengesahan sijil. Pembangun menggunakannya semasa ujian aplikasi dan sering terlupa untuk mengalih keluar kod yang sepadan sebelum menerbitkan aplikasi di App Store. Akibatnya, penyerang dapat melakukan serangan lelaki di tengah, mencuri dengar data antara pelanggan dan pelayan dan memanipulasinya untuk tujuannya sendiri. Sebagai contoh, dia akan dapat menggantikan data pembayaran atau pemindahan.

Rantai kunci dalam iOS ialah storan disulitkan khas yang direka untuk menyimpan maklumat aplikasi kritikal.

Ketiadaan rantai kunci tidak bermakna aplikasi menyimpan datanya dalam teks yang jelas. Aplikasi mungkin tidak menyimpan data kritikal pada peranti klien sama sekali atau menyimpannya dalam fail setempatnya, menggunakan standard atau tersuai fungsi asli penyulitan.

Selepas menjailbreak peranti, data daripada rantai kunci boleh dibaca dalam teks yang jelas. Jika fail tempatan digunakan sebagai storan maklumat kritikal, ia boleh dibaca dari jauh oleh penyerang. Penyelesaian terbaik ialah tidak menyimpan sebarang maklumat sensitif pada peranti. Malangnya, ini tidak selalu mungkin.

XXE (Entiti XML eXternal) ialah serangan yang mana penyerang boleh membenamkan entiti luaran atau dalaman ke dalam permintaan XML, dan ia akan diproses dengan sewajarnya oleh sistem.

Akibat serangan itu, penyerang dapat membaca fail sewenang-wenangnya dalam direktori aplikasi jika peranti tidak mempunyai jailbreak, dan sebarang fail jika peranti mempunyai jailbreak (sekiranya jailbreak, mekanisme kotak pasir dilumpuhkan). Ini bermakna mana-mana fail aplikasi sensitif boleh dibaca. Di samping itu, penyerang mempunyai keupayaan untuk menyebabkan penafian perkhidmatan aplikasi.

Ciri

Kuantiti

Berkemungkinan terdedah kepada XXE

Kekurangan XXE

Sesetengah aplikasi menggunakan fungsi untuk berfungsi dengan sistem fail. Jika data yang diterima daripada pelayan tidak ditapis dengan secukupnya dan masuk ke dalam jenis fungsi ini, penyerang akan dapat mendapatkan akses kepada fail yang tidak disediakan oleh fungsi asal.

Ciri

Kuantiti

Berkemungkinan terdedah kepada traversal direktori

Tiada kelemahan lintasan direktori

Fungsi NSLog digunakan untuk menulis maklumat penyahpepijatan ke log sistem umum. Mana-mana aplikasi boleh membaca dan menulis data daripada log ini.

Sebelum menerbitkan aplikasi di kedai, anda mesti berhenti menggunakan fungsi ini: seperti yang ditunjukkan oleh pengalaman kami dalam menyelidik aplikasi mudah alih, selalunya maklumat kritikal masuk ke dalam log, akses yang boleh menjejaskan sepenuhnya atau sebahagian data perbankan pengguna. selain itu, fungsi ini jika digunakan secara salah, ia terdedah kepada serangan rentetan format.

Ciri

Kuantiti

guna

Jangan guna

Apabila bekerja dengan pelanggan bank mudah alih, selalunya anda perlu memasukkan maklumat peribadi yang kritikal, jika dikompromi, penyerang boleh menyebabkan beberapa jenis bahaya kepada pemiliknya. Semakan yang diterangkan di bawah bertujuan untuk menilai keselamatan data (log masuk, kata laluan, PIN, nombor akaun, dll.) yang dimasukkan oleh pengguna ke dalam medan aplikasi. Dalam aplikasi iOS, kebocoran maklumat kritikal yang dimasukkan mungkin melalui tangkapan skrin, fungsi autopembetulan atau papan tampal.

Ciri

Tangkapan skrin

Pembetulan automatik

Penggunaan yang selamat

Penggunaan yang tidak selamat

Apabila anda meminimumkan apl dalam iOS, ia mengambil tangkapan skrin dan menyimpannya sehingga anda membukanya pada kali seterusnya. Tangkapan skrin yang dibuat mungkin mengandungi maklumat kritikal, yang kemudiannya boleh dipulihkan oleh penyerang.

Apabila memasukkan data, sistem pengendalian boleh meminta pengguna untuk pilihan input yang paling betul. Sedang berlangsung sistem ini boleh menambah asas perkataannya. Oleh itu, data sulit yang tidak sepatutnya disimpan pada peranti juga mungkin berada dalam pangkalan data. Pada masa ini, autopembetulan dilumpuhkan untuk medan kemasukan kata laluan, tetapi untuk medan dengan maklumat kritikal lain, autopembetulan mesti dilumpuhkan secara pengaturcaraan.

Fungsi yang melaksanakan papan keratan. Apabila menggunakan papan penampal standard, aplikasi lain boleh mendapat akses kepada papan keratan, yang bermaksud data kritikal boleh bocor.

Semasa analisis, banyak maklumat penyahpepijatan ditemui dalam aplikasi, membolehkan kami mendapatkan idea tentang infrastruktur dalaman pembangun aplikasi; fail untuk penggunaan dalaman, yang menyimpan surat-menyurat daripada pembangun, nota tentang status menutup ralat tertentu atau melaksanakan fungsi baharu.

Diperlukan sebelum dikeluarkan versi baru aplikasi dalam App Store, semak dengan teliti aplikasi yang terhasil untuk mendapatkan maklumat sensitif.

Daripada semua aplikasi yang dikaji:

Tiada yang menggunakan teknik anti-debug;

Tiada menggunakan teknik pengeliruan kod;

Dua aplikasi mengesan kehadiran jailbreak pada peranti.

Oleh kerana spesifikasi model pelaksanaan kod dalam Objektif-C, walaupun tanpa kod sumber, adalah mudah untuk memulihkan maklumat tentang tujuan kelas yang digunakan dan kaedah mereka, yang sangat memudahkan proses memulihkan operasi program dan mencari. untuk kelemahan di dalamnya.

Peranti dengan jailbreak dipasang sangat terdedah kepada pelbagai ancaman keselamatan. Ini disebabkan oleh fakta bahawa kebanyakan mekanisme keselamatan dilumpuhkan semasa jailbreak. Sebagai peraturan, aplikasi yang mengesan jailbreak sama ada enggan berfungsi pada peranti sedemikian atau menyediakan fungsi terhad.

Tetapi walaupun anda menggunakan semua teknik di atas, aplikasi itu masih boleh diperiksa dan dijalankan pada peranti jailbreak. Mereka hanya merumitkan dan memperlahankan proses penyelidikan permohonan dan memerlukan lebih ramai penyelidik yang berkelayakan tinggi.


Hasil penyelidikan keselamatan aplikasi Android

Statistik ini bertepatan dengan statistik untuk iOS, kerana pembangun dalam kebanyakan kes membangunkan aplikasi untuk kedua-dua platform.

Statistik mengenai pembangun aplikasi perbankan mudah alih untuk bank Rusia dengan akses akaun untuk Android

* Tidak selalu mungkin untuk mengenal pasti pembangun aplikasi mudah alih dengan tepat. Ini disebabkan oleh fakta bahawa aplikasi itu disiarkan di kedai di bawah nama bank atau individu dan tidak mengandungi sebarang maklumat tentang pemaju.

Menghuraikan AndroidManifest.xml

Dengan menganalisis fail AndroidManifest.xml, anda boleh mendapatkan maklumat tentang kebenaran yang diperlukan oleh aplikasi dan mekanisme komunikasi antara proses yang digunakan oleh aplikasi.

Bilangan permohonan dengan hak ini

android.permission.INTERNET

android.permission.ACCESS_FINE_LOCATION

android.permission.ACCESS_COARSE_LOCATION

android.permission.ACCESS_NETWORK_STATE

android.permission.READ_PHONE_STATE

Android.permission.CALL_PHONE

Android.permission.WRITE_EXTERNAL_STORAGE

android.permission.RECEIVE_SMS

Android.permission.READ_CONTACTS

android.permission.ACCESS_MOCK_LOCATION

android.permission.VIBRATE

android.permission.ACCESS_WIFI_STATE

android.permission.SEND_SMS

android.permission.ACCESS_GPS

android.permission.CHANGE_CONFIGURATION

Android.permission.CAMERA

android.permission.CONTROL_LOCATION_UPDATES

Android.permission.READ_SMS

Android.permission.WRITE_CONTACTS

android.permission.ACCESS_LOCATION_EXTRA_COMMANDS

android.permission.CHANGE_WIFI_STATE

Android.permission.READ_LOGS

android.permission.WRITE_SMS

Android.permission.BROADCAST_STICKY

android.permission.GET_TASKS

Android.permission.WRITE_SETTINGS

Dalam jadual, hak aplikasi kritikal ditandakan dengan warna merah, yang membolehkan anda membaca log peranti, tetapan peranti dan diperlukan apabila digunakan dalam panggilan API yang tidak selamat. Contohnya, hak WRITE_EXTERNAL_STORAGE membolehkan anda membaca dan menulis data kad SD luaran. Pada masa yang sama, dalam Android tidak ada pembezaan hak untuk aplikasi pada kad SD: mana-mana aplikasi boleh membaca sebarang data daripadanya. Oleh itu, aplikasi pihak ketiga boleh membaca data klien sensitif daripada kad SD.

Hak yang tidak kritikal tetapi tidak diperlukan untuk melaksanakan fungsi perbankan mudah alih (akses kepada kenalan, mesej SMS, kamera) ditandakan dengan warna kuning.

Graf ini menunjukkan bilangan aplikasi yang mempunyai hak kritikal yang tinggi, sederhana dan rendah.

Mekanisme komunikasi antara proses yang tersedia secara umum ialah titik kemasukan data aplikasi yang dianalisis. Mereka membenarkan aplikasi pihak ketiga menghantar data kepada aplikasi yang dipersoalkan. Lebih banyak titik kemasukan data sedemikian, lebih besar kemungkinan potensi kelemahan dalam aplikasi.

ContentProvider menyediakan data kepada aplikasi lain.

Penerima ialah pengendali mesej daripada proses lain.

Perkhidmatan ialah perkhidmatan dalam Android yang dijalankan sebagai proses latar belakang.

Aktiviti ialah komponen visual aplikasi yang memaparkan antara muka. Pengesahan data input yang tidak betul dalam komponen ini boleh menyebabkan suntikan SQL, XSS, kebocoran data dan kelemahan lain.

Sesetengah aplikasi memperoleh dan menggunakan maklumat telefon kritikal yang unik seperti IMEI atau IMSI. Maklumat ini dianggap sebagai maklumat peribadi kerana ia mengenal pasti pelanggan dan boleh digunakan untuk menjejakinya. Selain itu, IMEI dan IMSI tidak boleh digunakan sebagai pengecam unik kerana aplikasi pihak ketiga juga boleh menerimanya.

Kerentanan ini tidak kritikal, tetapi boleh digunakan bersama-sama dengan kelemahan lain.

Ciri

Kuantiti

Dapatkan IMEI/IMSI

Jangan gunakan IMEI/IMSI

Sesetengah aplikasi menggunakan komponen webView. Komponen ini membolehkan anda memaparkan halaman HTML yang terletak secara setempat atau jauh. Ia mempunyai ciri yang membolehkan anda menggunakan JavaScript, pemalam Flash dan akses sistem fail. Secara lalai, ciri ini dilumpuhkan kerana apabila menyambung melalui yang tidak selamat protokol HTTP atau jika terdapat kelemahan XSS dihidupkan pelayan jauh penyerang boleh melaksanakan kod JavaScript sewenang-wenangnya. Apabila bank mudah alih mengakses halaman dengan kerentanan ini, ia akan memuatkan JavaScript berniat jahat dan penyerang akan mendapat kawalan separa ke atas bank mudah alih pelanggan.

Beberapa aplikasi yang kami semak melibatkan JavaScript, pemalam dan akses sistem fail, yang merupakan kelemahan kritikal. Pengesahan data yang salah atau penggunaan saluran yang tidak selamat boleh menyebabkan serangan ke atas telefon mangsa. Menggunakan fungsi akses sistem fail akan membenarkan penyerang sekiranya serangan XSS mendapat akses kepada sistem fail. Menggunakan webView dengan JavaScript dilumpuhkan adalah tidak kritikal.

Kehadiran kelemahan ini boleh membawa kepada kompromi data pelanggan kritikal dan kecurian dana.

Pada Android, semua fail yang dibuat hanya tersedia untuk aplikasi itu, tetapi sesetengah aplikasi mencipta fail yang boleh dibaca dan ditulis oleh semua pengguna. Menyimpan data kritikal dalam fail sedemikian boleh membawa kepada komprominya.

Kehadiran kelemahan ini boleh membawa kepada kompromi separa data pelanggan kritikal.

Ciri

Kuantiti

Terdapat fail awam

Tiada fail awam

Sesetengah aplikasi menggunakan Penghurai XML dengan sokongan untuk Entiti Luar. Jika penghurai ini memproses input tidak ditapis, penyerang boleh melakukan serangan XXE dan membaca fail aplikasi sewenang-wenangnya.

Kehadiran kelemahan ini boleh membawa kepada kompromi separa data pelanggan kritikal dan penafian perkhidmatan.

Ciri

Kuantiti

Potensi XXE

Tiada XXE

Untuk melindungi aplikasi anda, anda hendaklah sekurang-kurangnya melumpuhkan bendera nyahpepijat semasa membina.

Aplikasi Android mudah untuk dinyahkompilasi, jadi pengeliruan aplikasi diperlukan untuk melindungi daripada kejuruteraan terbalik.

Ketiadaan obfuscation sangat memudahkan proses memulihkan program dan mencari kelemahan di dalamnya.

Peranti yang di-root jauh lebih mudah terdedah kepada ancaman keselamatan. Oleh itu, untuk memastikan keselamatan, anda harus menyemak akses root pada peranti. Daripada aplikasi yang disemak, hanya satu yang menyemak akses root pada telefon pintar.

Disebabkan pertumbuhan pesat dan pembangunan platform mudah alih, populariti perbankan mudah alih juga semakin berkembang.

Aplikasi untuk platform mudah alih terdedah kepada ancaman lama yang terkenal dan ancaman baharu yang belum dikaji sepenuhnya. Penyebaran aplikasi Android berniat jahat semakin berkembang.

Ancaman keselamatan kepada bank mudah alih mewujudkan risiko menjejaskan data pengguna kritikal, kecurian dana dan merosakkan reputasi bank. Pembangun pelanggan perbankan mudah alih tidak memberi perhatian yang cukup kepada isu keselamatan aplikasi dan tidak mengikut garis panduan pembangunan selamat. Pembangun sering kekurangan proses untuk membangunkan kod dan seni bina selamat.

Penyelidikan kami, berdasarkan analisis kod statik, menunjukkan bahawa bank mudah alih mengandungi kelemahan dan kekurangan yang boleh menyebabkan kecurian dana. Tahap keselamatan bank mudah alih dalam kebanyakan kes tidak melebihi tahap keselamatan aplikasi mudah alih konvensional, manakala risiko yang berkaitan dengannya membayangkan peningkatan keperluan keselamatan.

Sebelum memulakan kajian, kami mengandaikan bahawa bilangan kelemahan khusus untuk platform mudah alih akan jauh melebihi bilangan yang diketahui umum. Tetapi akibatnya, anda boleh melihat lebih kurang bilangan kelemahan yang sama bagi kedua-dua kelas. Ini bermakna adalah mungkin untuk melakukan serangan yang terkenal pada aplikasi perbankan mudah alih tanpa pengetahuan tentang spesifiknya. Keputusan bertindih dengan 10 Risiko Mudah Alih Teratas OWASP.

Penyerang mempunyai banyak cara untuk melakukan serangan. Selain itu, kos untuk melakukan serangan dalam persekitaran sebenar boleh menjadi sangat rendah berbanding dengan faedah yang mungkin.

Alat perlindungan moden untuk peranti mudah alih - antivirus, penyelesaian MDM, dsb. – boleh mengurangkan risiko, tetapi tidak menyelesaikan keseluruhan masalah. Keselamatan mesti diperkenalkan pada peringkat reka bentuk sistem dan hadir pada semua peringkat kitaran hayat program, termasuk peringkat pembangunan dan pelaksanaan. Ia adalah perlu untuk menjalankan audit kod, analisis keselamatan aplikasi, dan ujian penembusan.

Risiko apabila menggunakan perbankan mudah alih adalah berkadar songsang dengan keselamatan aplikasi. Oleh itu, audit menyeluruh terhadap keselamatan aplikasi perbankan mudah alih adalah perlu. Pakar keselamatan maklumat bank harus memberi perhatian tidak kurang kepada keselamatan bank mudah alih berbanding keselamatan bank dalam talian.

1. Maklumkan pengaturcara tentang isu keselamatan;

2. Mengintegrasikan keselamatan ke dalam seni bina;

3. Menjalankan audit kod;

4. Menjalankan analisis keselamatan aplikasi;

5. Gunakan pilihan pengkompil berkaitan keselamatan;

6. Kawal pengedaran aplikasi di Internet;

7. Tutup kelemahan dengan cepat dan keluarkan kemas kini.


Untuk melihat hasil kajian terperinci, anda boleh memuat turunnya dari pautan di bawah.



ARTIKEL BERKAITAN