У вас мобильный банк? Плохие новости…

Многообещающее сообщение «инициализация антивируса» при запуске мобильного Сбербанка говорит лишь о том, что приложение проверяет базовые элементы защиты телефона — разрешения, права доступа, наличие рута или неверных настроек аутентификации пользователя. Любые ошибки тотчас будет предложено исправить.

После ввода логина и пароля ваши деньги целиком доверяются технологии дистанционного обслуживания банковской системой. А у её инженеров безопасности, поверьте, работы всегда с избытком.

Тесты американских банковских приложений (занимают ведущее положение в мире в прогрессе программного обеспечения) показали довольно неожиданную ситуацию.

Для российского рынка подобные исследования не производились. Однако технологии применяются схожего характера, поэтому совершенно не исключено, что похожие (или даже худшие) цифры могут показать приложения местных кредитных организаций.

Проблемы мобильного банка на смартфоне

1. Файлы клиентского ПО доступны другим программам.
2. Неверные настройки SSL и незашифрованные сообщения (на iOS ни одна программа не прошла этот тест).
3. Исполняемые файлы доступны для записи и могут быть затёрты.
4. Код легко читается и редактируется сторонним разработчиком (проблема обфускации).
5. Почти не используется SecureRandom.
6. Подгрузка уязвимого динамического кода.
7. Подверженность XSS-атакам из-за ошибок в HttpOnly.
8. Cookie-файлы относительно легко перехватить.
9. Уязвимость перед прокси-соединением приложений SSL и TLS (вплоть до GPS-определения).
10. HTTP- и HTTPS-соединения не влияли на подключения к серверам с устаревшими версиями TLS.

Большинство этих проблем решает двухфакторная аутентификация. Мобильные банковские сервисы в России пока обходятся без неё, либо направляют код авторизации через SMS, что совершенно небезопасно. Чтобы обезопасить использование приложения банка на Андроид-устройстве, проследуйте рекомендациям пошаговой инструкции.