Компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, объявляет результаты нового исследования «Безопасность мобильного банкинга: возможность реализации атаки MitM (Man-in-the-Middle, Человек посередине)», автором которого является Дмитрий Евдокимов, директор исследовательского центра Digital Security. Эксперт компании занимается данной темой последние несколько лет, регулярно выступая с докладами на международных конференциях по ИБ, включая BlackHat, HackInParis, ZeroNights.

В прошлом году мы постарались систематизировать сферу мобильного банкинга и подход к анализу ее безопасности, а также провели статический анализ безопасности около 40 приложений для iOS и Android. В рамках данного исследования было рассмотрено уже не по 40 приложений для двух ОС, а примерно по 60, включая банк-клиенты Альфа-Банка, банка «Авангард», банка «Балтика», ВТБ, Газпромбанка, Промсвязьбанка, РайффайзенБанка, СИАБ, Ситибанка, Уралсиб, Ханты-Мансийского банка и других.

Комментирует Дмитрий Евдокимов: «На этот раз мы решили сосредоточиться на поиске одной из самых опасных уязвимостей в сфере мобильного банкинга, связанной с недостаточной защитой транспортного уровня или ее отсутствием. Данная проблема может привести к реализации атаки MiTM и краже денег со счетов клиентов».

В рамках исследования рассматривались ОС Android и iOS, как наиболее распространенные и имеющие наибольшее количество приложений для мобильного банкинга. Эксперт Digital Security выяснил, что из всех рассмотренных мобильных банк-клиентов с iOS 14 % подвержены краже денег только с помощью MitM-атаки, а с Android 23 %. Сочетание других уязвимостей может также привести к краже денег со счетов клиентов. При этом стоит отметить, что только один банк из 79 изученных имеет одновременно уязвимое приложение для iOS и Android.

В ходе исследования эксперт Digital Security сделал также ряд интересных находок, напрямую не связанных с основной темой. Например, в ответах сервера иногда приходят отладочные трейсы, раскрытие внутренней банковской информации (даже информация об АБС, автоматизированной банковской системе). Или можно провести атаки “User Enumeration” – получения списка действующих логинов пользователей.

Опираясь на приведенные выводы исследования, а также на другие подробные факты и находки, описанные здесь, можно со всей уверенностью заявить, что существенное число российских банков до сих пор не уделяет должного внимания безопасности мобильного банкинга. Между тем, с развитием мобильных банковских технологий со временем все больше транзакций будет совершаться онлайн. И если уязвимости будут существовать и множится, их эксплуатация будет приводить к массовым хищениям финансовых средств со счетов клиентов.