Накануне крупнейшей в Центральной Азии конференции практической кибербезопасности KazHackStan компания TSARKA Group публикует результаты ежегодного анализа защищенности мобильных приложений банков второго уровня.
Эксперты TSARKA применяли как ручные методы тестирования и анализа мобильных приложений, так и автоматизированные инструменты сканирования (MobSf, apkhunt и nuclei). Указанные инструменты – части автоматизированной комплексной платформы для тестирования на проникновение, анализа вредоносных программ и оценки безопасности мобильных приложений (под платформы Android/iOS/Windows). Такой подход обеспечивал всестороннюю оценку безопасности мобильных приложений, позволяя выявить как уязвимости, обнаруженные вручную, так и потенциальные угрозы, выявленные автоматически.
В процессе исследования было рассмотрено 20 уязвимостей в 4 категориях у 11 ведущих БВУ РК, часть из которых можно отметить, как высококритичные, требующие немедленного исправления в исследованных версиях мобильных приложений. К примеру, больше половины исследуемых приложений хранят чувствительную информацию в приватном файле внутри директории приложения.
Очень часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется. Однако для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей. Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает очень критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денежных средств клиента.
Олжас Сатиев, генеральный директор и основатель Tsarka Group, комментирует исследование: «В этом году мы немного сдвинули выход отчета, предваряя возможность обсудить эти уязвимости на наших панельных дискуссиях KazHackStan. С другой стороны, у банков было больше возможности исправить текущие недочеты, но мы видим, что в ряде случаев проблемы остаются, и это, к сожалению, традиционная история для РК. Внедрение на государственном уровне требований к подключению в платформу легального поиска уязвимостей (Bug Bounty) дало толчок роста к регулярным исследованиям безопасности. Однако впереди большая работа не только в рамках практической безопасности, но и в контексте смены парадигмы мышления, прекращения «невыноса» сора, то есть информации об утечках и уязвимостях, из периметра организации».
Коллектив TSARKA и её основатель уже больше десятилетия работают над тем, чтобы защищать бизнес, государство и граждан Республики Казахстан от киберпреступников. Экспертиза и опыт более чем сотни топовых специалистов, выросших в Казахстане и обученных противодействовать киберугрозам именно в нашем регионе, помогает успешно защищать именно казахстанский бизнес на базе казахстанских и всемирно известных продуктов и технологий.
Расим ЮМАШЕВ, специалист по информационной безопасности компании TSARKA
