Всё о Мобильном банке Сбербанка

Неофициальный сайт о Мобильном банке Сбербанка: инструкции онлайн подключения, стоимость использования, правила онлайн переводов на карту и пополнения счета телефона, проверка баланса

Главное меню

Компания Digital Security провела исследование безопасности Мобильного банка

Компания Digital Security, оказывающая услуги в сфере консалтинга по информационной безопасности, опубликовала результаты нового исследования «Безопасность мобильного банкинга: возможность реализации атаки MiTM (Man-in-The Middle, Человек посередине)», которое было проведено под руководством Дмитрия Евдокимова, директора исследовательского центра Digital Security. Он изучает данную тему последние несколько лет, его регулярно можно видеть на международных конференциях по информационной безопасности, в том числе BlackHat, HackInParis, ZeroNights.

Атака “MitM”: Подключение через зараженное сетевое оборудование

Компания Digital Security в прошлом году провела систематизацию сферы мобильного банкинга и подходов к оценке его безопасности, а также осуществила статический анализ безопасности порядка 40 приложений для Android и iOS. В рамках нового исследования было изучено по 60 приложений для двух OS, в том числе банк-клиенты Альфа-Банка, банка «Авангард», ВТБ, банка «Балтика», Промсвязьбанка, Газпромбанка, РайффайзенБанка, СИАБ, Ситибанка, Уралсиб, Ханты-Мансийского банка и других.

«В этот раз мы сосредоточились на поиске одной из наиболее опасных уязвимостей в сфере Мобильного банка, связанной с слабой защитой транспортного уровня или её полным отсутствием. Такая проблема „открывает пути“ для реализации атаки MiTM и хищению денег со счетов клиентов» — поясняет Дмитрий Евдокимов.

В рамках исследования внимание было сосредоточено на системах Android и iOS, как наиболее популярных и имеющие наибольшее число приложений для Мобильного банка. В результате специалисты Digital Security выяснили, что из всех изученных мобильных банк-клиентов с Android 23% подвержены кражам денег со счетов через MitM-атаки, а с iOS 14%. Наличие других уязвимостей в операционной системе существенно увеличивает риск кражи денег со счетов клиентов. При этом следует отметить, что лишь один банк из 79 изученных имеет мобильное приложение уязвимое сразу и в iOS, и в Android.

Атака “MitM”

Основные сценарии реализации атаки “MitM”

  • Подключение пользователя к поддельной Wi-Fi-точке доступа. Это самый распространенный и реальный сценарий MitM-атаки. Может быть легко воспроизведен в кафе, торговом или бизнес-центре.
  • Подключение к поддельной базовой станции оператора. Эта схема становится все более доступной для широких масс благодаря широкому выбору аппаратного и программного обеспечения и его низкой стоимости. Ситуацию необходимо взять под контроль как можно оперативнее.
  • Использование зараженного сетевого оборудования. Под заражением сетевого оборудования понимается не только исполнение на нем вредоносного кода, но и его целенаправленное злонамеренное переконфигурирование, например, через уязвимость. Уже известно немало примеров реализации подобных атак.

Возможные последствия “MitM”

  1. Кража денежных средств со счетов клиента.
  2. Раскрытие информации о счетах клиента и его прошлых операциях.
  3. Просмотр данных о текущей операции клиента.
  4. Отказ в обслуживании клиента.

Во время исследования эксперт Digital Security также обнаружил ряд интересных фактов, не связанных напрямую с основной темой:

  • Есть приложения, которые предупреждают о недействительности сертификата, но позволяют продолжить работу с ним.
  • В ряде приложений была обнаружена возможность проведения атаки “User Enumeration” – получения списка действующих логинов пользователей.
  • Некоторые приложения, помимо SSL, еще используют внутреннее шифрование (иногда «соль» приходит с сервера), но большинство передают логин и пароль в открытом виде.
  • Некоторые банки действительно отправляют платные SMS.
  • В некоторых клиентах после трехкратного неверного ввода пароля можно заблокировать аккаунт.
  • Логин входа – иногда номер телефона клиента.
  • Почти все приложения отправляют на сервер информацию об устройстве, порой и уникальные идентификаторы устройства.
  • В ответах сервера иногда приходят отладочные трейсы, раскрытие внутренней банковской информации (даже информация об АБС).
  • Есть банки, у которых Android-приложение не лежит в магазине, а только на сайте, и установка требует возможности установки с «неизвестных источников».
  • Для входа в мобильный банк часто используются учетные данные с онлайн-банка.
  • Один разработчик (даже одна платформа), а уязвимости разные.

Исходя из указанных выводов исследования, а также других аналогичных фактов и находок, можно уверено заявить, что многие отечественные банки до сих пор не уделяют должного внимания обеспечению безопасности Мобильного банка. Между тем, с развитием мобильных банковских технологий всё больше транзакций будет «уходить в онлайн». И если уязвимости будут сохраняться и расширяться, их использование неминуемо приведет к массовым хищениям денежных средств со счетов клиентов банка.



  • Категория:
  • Автор:
  • Рейтинг:
    5.0/1

Никто не решился оставить свой комментарий.
Будьте первым, поделитесь мнением с остальными.
avatar