sobota 7 stycznia 2017, Poradnik bezpieczeństwa

Bezpieczeństwo aplikacji mobilnych polskich banków - raport firmy PGS Software

Lost24

Firma PGS Software przyjrzała się aż 19 aplikacjom mobilnym banków działających na terenie Polski, działających na systemie Android.


W każdym przypadku został założony najprostszy rachunek, aktywowano bankowość elektroniczną i mobilną, zainstalowano daną aplikację i przeprowadzono kilka operacji. PGS Software starała się również podsłuchać transmisję danych, zapoznać się z budową aplikacji oraz informacjami przez nią składowanymi.


Bezpieczeństwo wielu przetestowanych aplikacji bankowych pozostawiłało wiele do życzenia. Przykładowo udało się doprowadzić do przejęcia sesji zalogowanego użytkownika czy też wycieku danych osobowych. Raport wskazuje także, że w wielu przypadkach aplikacje wysyłane do sklepu nie podlegają żadnej kontroli jakości.


Autorzy raportu podkreślają, że aplikacje bankowe powinny być projektowane w taki sposób, aby uniemożliwić wysłanie obrazka z potwierdzeniem wykonania przelewu, czyli blokada funkcji zrzutu ekranu, co zapobiegnie podejrzeniu kodu PIN. Programiści aplikacji bankowych powinni także brać pod uwagę, że nawet 80% urządzeń z Androidem jest podatna na ataki z zewnątrz. Dlatego też, dane użytkownika powinny być składowane w postaci zaszyfrowanej.


Firma PGS Software określiła niektóre usterki w testowanych aplikacjach mianem krytycznych, czyli takich, które mogą doprowadzić do utraty środków lub wycieku danych użytkownika. Przykładowo, zarejestrowano przypadek ignorowania certyfikatu bezpieczeństwa, co może doprowadzić do przechwycenia i zmodyfikowania komunikacji między bankiem i klientem.
Oprócz błędów w testowanych aplikacjach niepokój budzi brak bezpiecznych procedur zgłaszania błędów oraz słaba reakcja banków na zgłoszone przez autorów raportu nieprawidłowości. Podczas zgłaszania nieprawidłowości autorzy raportu byli proszeni o przekazywanie potencjalnie niebezpiecznych informacji pracownikom call center, a podane dane miały trafić do ogólnodostępnego formularza reklamacyjnego.


Wraz z ze wzrostem popularności bankowości mobilnej zwiększa się liczba ataków na dane użytkowników oraz zgromadzone przez nich środki pieniężne. Dlatego, banki powinny dołożyć wszelkich starań, aby zwiększyć bezpieczeństwo i jakość wykonania aplikacji mobilnych, z których korzystamy.
Szczegółowy raport oraz listę banków, których aplikacje mobilne przetestowano, możecie znaleźć tutaj.