Sok sebből véreznek a mobilos banki alkalmazások

A mobil banki alkalmazások jelentős része komoly biztonsági hiányosságokat tartalmaz, ami könnyedén a felhasználók adatainak, végső soron pénztárcájának rovására mehet.
 

A mobil bankolás egyre nagyobb népszerűségnek örvend a pénzintézetek ügyfeleinek körében, így nem meglepő, hogy a bankok jelentős része már biztosít legalább iOS és Android kompatibilis alkalmazásokat a pénzügyek kezeléséhez. Azonban – hasonlóan, ahogy a webes megoldások – ezek a szoftverek is rejtegetnek kockázatokat. Mint az egy felmérésből kiderült, nem is keveset.

Ariel Sanchez, az IOActive biztonsági cég szakértője egy érdekes vizsgálatot folytatott le a mobil banki alkalmazások kapcsán, és több mint hatvan pénzintézet szoftverét vette górcső alá. Ezek mindegyike iOS kompatibilis volt, vagyis a szakember most az Android platformot mellőzte, és kifejezetten az Apple készülékeivel használható programokra koncentrált. A sérülékenységi elemzések során azt nézte, hogy az egyes alkalmazások milyen módon kommunikálnak a banki szerverekkel, hogyan tárolják lokálisan az adatokat, miként naplóznak, és az így keletkező adatokból milyen információkhoz lehet hozzájutni.

A legalapvetőbb problémák

A szakember megállapította, hogy az összes általa tesztelt alkalmazást gond nélkül lehetett használni jailbreakelt készülékeken, ugyanis erre vonatkozó ellenőrzéseket a szoftverek nem tartalmaztak. Ez pedig egyértelműen biztonsági aggályokat vet fel, hiszen növeli a nemkívánatos tevékenységek vagy a jogosulatlan adathozzáférések kockázatát.

Problémaként vetődött fel, hogy ugyan a szoftverek mindegyike alkalmas volt SSL-alapú, titkosított kommunikációra, azonban a 90 százalékuk kisebb-nagyobb mértékben titkosítatlan csatornákon keresztül is küldött vagy fogadott adatokat. Sanchez szerint ez lehetőséget adhat a támadók számára, hogy különféle kódokat, adatokat fecskendezzenek be a hálózati adatforgalomba, és manipulálják a felhasználói felületet vagy a tranzakciókat. Szintén a titkosított kommunikációhoz kapcsolódó gond, hogy az alkalmazások 40 százaléka nem ellenőrzi megfelelően a digitális tanúsítványokat, ami növeli a közbeékelődéses (man-in-the-middle) támadások kockázatát.

A vizsgálatokba bevont alkalmazások fele különböző mértékben ugyan, de építkezik a UIWebView által biztosított lehetőségekre a webes tartalmak megjelenítése érdekében. Sanchez szerint az igazi probléma az, hogy a UIWebView integrálása gyakran nem biztonságos módon valósul meg, ami jogosulatlan műveletvégrehajtást eredményezhet. A szakember az egyik szoftver esetében például egy saját webes űrlapot tudott beszúrni a banki alkalmazásba. Amennyiben ugyanezt adathalászok tették volna meg, akkor értékes adatokat csalhattak volna ki a felhasználóktól.

Sanchez arra is rávilágított, hogy a banki alkalmazásokba épített hitelesítő mechanizmusok sem mondhatók kielégítőnek. A szoftverek 70 százaléka semmiféle alternatív, kétfaktoros azonosítási technológiát nem támogat. Eközben pedig a felhasználónevek és a jelszavak kezelése is sok kívánnivalót hagy maga után. A szoftverek egy jelentős hányada olyan módon naplóz vagy ment le adatokat, hogy titkosítás hiányában könnyedén lehet értékes információkhoz jutni például az iOS-logból, illetve az alkalmazásokhoz tartozó, különösebb védelem nélkül működő SQLite adatbázisokból.

Jó tanácsok

A szakember az általa vizsgált alkalmazásokat nem kívánta megnevezni. Ehelyett inkább jó tanácsokkal próbált szolgálni, mert a feltárt, konkrét rendellenességeket előbb az érintettekkel szeretné megosztani. Azt javasolta a bankoknak, hogy jelentős változtatásokat eszközöljenek a mobil alkalmazásaik esetében, és szigorúbb előírásokat vezessenek be e téren. A fejlesztőknek pedig figyelniük kell arra, hogy az adatkapcsolatok mindig biztonságos csatornákon keresztül valósuljanak meg, és a készülékeken tárolt, kezelt információk oltalmazása se szoruljon háttérbe.