Мобильное ПО для торговли на фондовом рынке небезопасно - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Мобильное ПО для торговли на фондовом рынке небезопасно

Как установил Алехандро Эрнандес (Alejandro Hernandez) из консалтинговой компании IOActive, защищенность мобильных приложений, используемых для проведения операций с ценными бумагами, оставляет желать лучшего.

Исследование показало, что такие программы содержат непростительные уязвимости, отрывающие возможность для сбора персональных данных или кражи денег с брокерских счетов.

Для проверки Эрнандес отобрал более 20 популярных приложений новейших версий, доступных в Apple Store и Google Play. Испытания проводились на неразлоченном iPhone 6 под управлением iOS 10.3.3 и эмуляторе рутованного устройства на Android 7.1.1. Список тестов включал 14 позиций, однако в некоторых случаях провести полную проверку не удалось — из-за отсутствия нужной функции, возможности открыть аккаунт или чисто технических препятствий.

Наиболее критичным багом в брокерских приложениях оказалась плохая защита пользовательских паролей. Так, четыре испытуемых образца сохраняли читаемые пароли в незашифрованном конфигурационном XML-файле или журнале. При наличии физического доступа к устройству злоумышленник мог без труда извлечь пароль и с его помощью авторизоваться на других платформах брокерской компании и совершать там несанкционированные действия. Примечательно, что для привязки к банковскому аккаунту большинство тестируемых приложений использовали лишь текущий пароль, поддержка двухфакторной аутентификации в них отсутствовала.

Шесть инсталляторов Android-программ легко поддались реверс-инжинирингу, остальные в какой-то мере маскировали свое назначение и последовательность операций. В тех образцах, которые не использовали обфускацию, Эрнандес обнаружил вшитые криптоключи и пароли партнерских служб.

Защита операционных и персональных данных, включая токены, тоже оказалась не на высоте. Так, 62% тестируемых приложений переносили такую информацию в файл регистрации событий, 67% хранили ее в незашифрованном виде. При утере смартфона любой нашедший его мог воспользоваться конфиденциальными данными в своих интересах. Исследование также показало, что так называемый режим приватности (Privacy Mode), призванный обеспечивать защиту от посторонних глаз в зонах общего пользования, поддерживает лишь одна программа из выборки.

Еще одним распространенным недостатком мобильных брокерских приложений является ненадежность коммуникаций. Как оказалось, два образца из выборки Эрнандеса используют нешифрованную HTTP-связь. Остальные передают все данные по HTTPS, однако 13 из них не проверяют подлинность (SSL-сертификат) удаленного сервера, что открывает возможность для MitM-атак или внедрения вредоносных JavaScript и поддельных HTML-форм в ответы сервера. Настройки Web View десяти программ допускали исполнение JavaScript-кода и, таким образом, могли спровоцировать XSS-атаку.

Хотя большинство Android-приложений не запускаются на рутованных устройствах (по соображениям безопасности), исследователь обнаружил, что 20 брокерских программ не способны распознать такое окружение. То единственное приложение, которое умело это делать, лишь выводило предупреждение, предоставляя владельцу устройства свободу выбора дальнейших действий.

Результаты проверки брокерских приложений на безопасность (источник: блог-запись Алехандро Эранандеса)

Подробный отчет о проведенном исследовании был в начале текущего месяца направлен в 13 брокерских компаний. По состоянию на 26 сентября на письмо IOActive откликнулись лишь две из них. Эрнандес также пытался отыскать подтверждение своим находкам в открытых публикациях органов регулирования фондового рынка США, однако не нашел ни слова о рисках, связанных с электронной торговлей, как и рекомендаций по повышению качества и безопасности профильного ПО.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus