Добавить новость
Добавить компанию
Добавить мероприятие
Уязвимости финансовых приложений: из каждого третьего онлайн-банка можно украсть деньги
05.07.2017 12:56
версия для печати
Как отмечается в исследовании, популярность электронных финансовых инструментов в России за последний год заметно выросла благодаря развитию бесконтактных систем оплаты: к уже привычным PayPass и payWave присоединились технологии NFC-платежей с помощью смартфонов — Apple Pay и Google Wallet. Однако безопасность общедоступных веб- и мобильных приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений. При этом в случае банковских приложений реализация угроз приводит к серьезным последствиям — включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса. В частности, исследование показало, что в 2016 году доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска — на 18%. При этом в продуктивных системах выявлено почти в два раза больше уязвимостей, чем в системах, находящихся в разработке. А финансовые приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем те, которые разработаны банками самостоятельно. Большинство онлайн-банков (71%) имеют недостатки в реализации двухфакторной аутентификации. 33% приложений онлайн-банков содержат уязвимости, позволяющие украсть деньги, а в 27% приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну. Что касается мобильных банков, то в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. Банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе. В этом году в отчет Positive Technologies также вошла статистика по защищенности автоматизированных банковских систем (АБС), которые обычно считаются недоступными для внешнего злоумышленника. Однако на практике две трети уязвимостей, выявленных в АБС, оказались критически опасными — включая такие, которые позволяют получить административный доступ к серверу. Подобный доступ дает возможность злоумышленнику, оставаясь незамеченным, проводить любые мошеннические операции, связанные с деньгами: например, заводить новые счета и указывать на них любое количество денег, или же подменять платежные поручения, отправляемые в Центробанк. «Тренды целевых атак прошлого года показывают, что злоумышленники все активнее используют подобные возможности для атак на финансовый сектор, ― отмечает Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. ― При этом большинства недостатков защиты можно избежать еще на этапе проектирования приложений, если учесть все нюансы, связанные с реализацией механизмов аутентификации и авторизации. Значительное количество уязвимостей может быть выявлено на стадии разработки, если придерживаться практик безопасной разработки (SSDLC) и регулярно проводить анализ защищенности приложений. Как показывает практика, наиболее эффективным методом выявления уязвимостей веб-приложения является анализ его исходного кода, в том числе автоматизированными средствами». Редактор раздела: Тимофей Белосельцев (info@mskit.ru) Рубрики: Интернет, Финансы, Web, Безопасность
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
MSKIT.RU: последние новости Москвы и Центра13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||