Банк СИАБ возглавил рейтинги безопасности мобильных банковских приложений для платформ iOS и Android, составленные компанией Digital Security, экспертом в области аудита безопасности. Эксперты компании проанализировали мобильные приложения 37 российских банков.
В топ-10 того и другого рейтинга попали еще три банка — РосЕвроБанк, банк «Санкт-Петербург» и МТС-Банк. Лидерами рейтинга безопасности мобильных приложений на платформе iOS стали Мастер-Банк и финансовая группа «Лайф». В рейтинге самых защищенных приложений на платформе Android второе и третье место досталось банку «Санкт-Петербург» и МТС-Банку соответственно.
Между тем по результатам исследования Digital Security пришла к выводу, что все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.
Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов.
70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS — одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные.
45% приложений для iOS потенциально уязвимы к XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.
