Мобилните приложения излагат на сериозен риск потребителите, твърди изследване на сигурността
Мобилните потребители се доверяват на своите приложения, особено когато става въпрос за онлайн банкиране. Според експерти обаче, повечето банкови приложения не са сигурни и се нуждаят от сериозни подобрения.
Специалистите от IO Active са тествали 40 приложения за iOS, които обслужват 60 банки по света. Резултатите са твърде обезпокоителни за притежателите на смартфони. 40% от приложенията се оказват уязвими към атаки от типа „човек по средата” (МIТМ).
Проблемът идва от това, че приложенията не проверяват истинността на SSL сертификата, предоставян от сървърите на банковите услуги. Освен това при 20% от приложенията е отключена защитата Stack Smashing Protection и липсва Position Independent Executable (PIE), които помагат да се намали рискът от атаки за разрушаване на паметта.
Половината от изследваните приложения са уязвими към атаки с междусайтови скриптове, а над 40% оставят критична информация в системните логове. Най-голямо безпокойство обаче буди фактът, че 90% от приложенията съдържат връзки, които не са защитени със SSL протокол.
Според експертите, на iOS устройство, на което е извършен джейлбрейк, може да се инсталира всякакво, дори незащитено приложение. Добавяйки в приложението връзки без SSL, хакерите могат да прихванат трафика и да изпълнят произволен код JavaScript/HTML за създаване на измамно искане към потребителя за въвеждане на конфиденциални данни.
Нещо повече, над 50% от приложенията са уязвими към JavaScript инжекции чрез незащитено изпълнение на UIWebView. В някои случаи функциите на iOS биват компрометирани и киберпрестъпниците могат да изпращат SMS съобщения или имейли от устройството на жертвата, твърди IO Active.