НОВОСТИ

Безопасность мобильного банкинга в Казахстане в зоне риска

В преддверии начала крупнейшей в Центральной Азии конференции практической киберезопасности KazHackStan TSARKA Group публикует результаты ежегодного анализа защищенности мобильных приложений банков второго уровня.



В рамках исследования эксперты TSARKA применяли как ручные методы тестирования и анализа мобильных приложений, так и автоматизированные инструменты сканирования (MobSf, apkhuntи nuclei). Указанные инструменты - части автоматизированной комплексной платформы для тестирования на проникновение, анализа вредоносных программ и оценки безопасности мобильных приложений (под платформы Android/iOS/Windows). Данный подход обеспечивал всестороннюю оценку безопасности мобильных приложений, позволяя выявить как уязвимости, обнаруженные вручную, так и потенциальные угрозы, выявленные автоматически. В процессе исследования было рассмотрено 20 уязвимостей в 4 категориях у 11 ведущих БВУ РК, часть из которых можно отметить, как высококритичные, требующие немедленного исправления в исследованных версиях мобильных приложений.



К примеру, больше половины исследуемых приложений хранит чувствительную информацию в приватном файле внутри директории приложения. Очень часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется. Однако, для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей. Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает очень критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денежных средств клиента.



Олжас Сатиев, генеральный директор и основатель Tsarka Group, комментирует исследование: «В этом году мы немного сдвинули выход отчета, предваряя возможность обсудить эти уязвимости на наших панельных дискуссиях KazHackStan. С другой стороны, у банков было больше возможности исправить текущие недочеты, но мы видим, что в ряде случаев проблемы остаются, и это, к сожалению, традиционная история для РК. Внедрение на государственном уровне требований к подключению в платформу легального поиска уязвимостей (Bug Bounty) дало толчок роста к регулярным исследованиям безопасности. Однако, впереди большая работа не только в рамках практической безопасности, но в и контексте смены парадигмы мышления, прекращения «невыноса» сора, то есть информации об утечках и уязвимостях, из периметра организации».



Коллектив TSARKA и ее основатель уже больше десятилетия работают над тем, чтобы защищать бизнес, государство и граждан Республики Казахстан от киберпреступников. Экспертиза и опыт более чем сотни топовых специалистов, выросших в Казахстане и обученных противодействовать киберугрозам именно в нашем регионе, помогает успешно защищать именно Казахстанский бизнес на базе Казахстанских и всемирно известных продуктов и технологий.
2024-09-10 18:18