| +11 голос |
|
Согласно исследованию Positive Technologies доля мобильных банковских приложений, в которых обнаруживаются критически опасные уязвимости, снижается с каждым годом. Если в 2015 г. уязвимости высокого уровня риска содержались в 90% проанализированных систем, а годом позже было уже 71%, то в 2017-м - только 56%. Но несмотря на заметный рост уровня защищенности, текущие недостатки все еще несут серьезные угрозы для банков и их клиентов, отмечается в ежегодном исследовании Positive Technologies.
В среднем в 2017 г. на каждую систему дистанционного банковского обслуживания приходилось по 7 уязвимостей, что больше показателя 2016 года, когда на каждое финансовое приложение приходилось только 6 недостатков. Однако доли уязвимостей высокого и среднего уровня риска заметно снизились. Например, в трети онлайн-банков отсутствовали критически опасные недостатки, а годом ранее уязвимости высокого уровня риска были во всех финансовых веб-приложениях, кроме одного.
Наиболее распространенными уязвимостями онлайн-банков в 2017 году стали «Межсайтовое выполнение сценариев» (75% систем) и «Недостаточная защита от атак, направленных на перехват данных» (69%), которые позволяют совершать атаки на клиентов банков (например, перехватывать значения cookie или похищать учетные данные). Больше половины онлайн-банков (63%) содержали уязвимость высокого уровня риска «Недостаточная авторизация», которая позволяет злоумышленнику получить несанкционированный доступ к функциям веб-приложения, не предназначенным для данного уровня пользователя. Кроме того, уязвимости в 94% онлайн-банков могли быть использованы злоумышленниками для доступа к сведениям, составляющим банковскую тайну клиентов, и личной информации.
С мобильными банковскими приложениями ситуация похожа: снизились доли уязвимостей высокого (29% вместо 32% в 2016 году) и среднего уровня риска (56% вместо 60%). Соответственно, увеличилась доля уязвимостей низкого уровня риска; компании стремятся в первую очередь принимать меры для устранения критически опасных уязвимостей. Тем не менее в половине систем (48%) была выявлена хотя бы одна критически опасная уязвимость. В 52% мобильных банков уязвимости позволяли расшифровать, перехватить, подобрать учетные данные для доступа в мобильное приложение или вовсе обойти процесс аутентификации. В результате злоумышленник может получить возможность совершать операции в мобильном банке от лица легитимного пользователя.
При этом iOS-приложения вновь оказались защищены лучше, чем их аналоги для Android. Доля уязвимостей высокого уровня риска в iOS-приложениях составила всего 25%, в то время как в Android-приложениях она занимает 56%. Практически для всех рассмотренных мобильных банков (кроме одного) эксперты анализировали по два идентичных приложения, разработанных для разных операционных систем, и в некоторых случаях мобильное приложение для iOS не содержало уязвимостей, которые были обнаружены в Android-приложении.
Большинство исследованных систем (68%) были разработаны финансовыми организациями самостоятельно. Но если в 2016 году приложения, созданные банками, содержали в два раза меньше уязвимостей, чем системы, развернутые на готовых платформах, то год спустя ситуация изменилась: у приложений, построенных на «коробочных» решениях, стало меньше критически опасных уязвимостей. Вендоры стали больше внимания уделять вопросам безопасности, в то время как банкам по-прежнему не хватает опытных разработчиков в штате и грамотно выстроенного процесса безопасной разработки.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
