Internetové bankovníctvo cez smartfón je výborná vec, no je bezpečná? Správa z bezpečnostnej firmy IOActive navrhuje, že aplikácie bežiace pod operačným systémom iOS majú od bezpečnosti veľmi ďaleko.
Výskumník Ariel Sanchez, ktorý pracuje vo vyššie spomenutej spoločnosti študoval bezpečnosť 40 mobilných aplikácií bánk pre iOS, vrátane tých, ktoré používajú najznámejšie banky sveta. Pri analýze sa zameral na to, ako aplikácia komunikuje so servermi, ako ukladá informácie lokálne, aké ďalšie zabezpečenie každá z aplikácií využíva, aké informácie aplikácie poskytla vo svojich logoch a či jej kód nemá žiadne zadné vrátka.
Obrovským problémom je jailbreak
Hneď prvým problémom, na ktorý upozornil je fakt, že všetky tieto aplikácie sa dali nainštalovať na jailbreaknuté iPhony, na ktorých už nefungovali vstavané bezpečnostné prvky iOS, čo mu umožnilo narábať s nimi podľa toho ako chcel on.
V článku na blogu spoločnosti potvrdil, že až 40% všetkých testovaných aplikácií malo nedoriešený transportný mechanizmus, ktorý zákazníka danej banky vystavoval nebezpečenstvu pred útokom hackerov, ktorí mohli odchytiť túto komunikáciu. Podobné útoky sú najčastejšie prevádzkované na verejných sieťach, čo z mobilného internet bankingu už nerobí takú atraktívnu možnosť.
Bez SSL až 90 percent aplikácií
Sanchez okrem toho zistil, že až 90 percent všetkých aplikácií používalo odkazy bez SSL zabezpečenia, čo hackerom opäť umožňuje zachytiť túto komunikáciu, do ktorej môžu vložiť svoj vlastný kód.
Vo svojom článku ďalej približuje, že v poslednej dobe sa cross-site scripting, teda vloženie kódu do webstránky, alebo aplikácie stáva čoraz populárnejším. V praxi to môže vyzerať tak, že aplikácia len požiada užívateľa, aby znovu zadal svoje prihlasovacie údaje, pretože „vaše prihlásenie vypršalo,“ čo všetci dobre poznáme. Po zadaní sa údaje odošlú priamo do zápisníka útočníka.
Jedným z riešení je dvojkrokové overenie, ktoré už teraz využívajú najväčšie spoločnosti ako Facebook, či Google a dokonca aj niektoré banky. Nie len na Slovensku je však aj veľa bánk, ktoré takéto riešenie zatiaľ zaimplementované nemajú. Sanchez zistil, že podobné riešenie chýba až 30% aplikácií.
„Niektoré aplikácie o vás prezradia informácie v systémových logoch, alebo logoch, ak náhodou zamrznú a spadnú.“
– Ariel Sanchez
Čo je znepokojujúce je aj to, že niektoré aplikácie o vás prezradia informácie v systémových logoch, alebo logoch, ak náhodou zamrznú a spadnú. Dáta z takéhoto logu môže hacker využiť pre vybudovanie balíčku, ktorý využije ako malvér.
Sanchez bankám, ktorých aplikáciie disponujú takýmto rizikom dal vedieť, v čom je chyba, a ako to opaviť.
Kým vývojári nezaktualizujú svoje aplikácie, aby spĺňali všetky bezpečnostné požiadavky, z iPhonu, alebo iPadu by sme vám neodporúčali uskutočňovať platby.
