ТОМСК, 27 мая – РИА Томск, Яна Резниченко. Знали ли вы, что
при входе в мобильное банковское приложение по отпечатку пальца ваш циферный пароль может сохраниться в файлах на смартфоне? При утере гаджета, краже или наличии в его системе вируса злоумышленники могут завладеть паролем,
а затем и вашими деньгами. Насколько уязвимы банковские приложения – в материале РИА Томск.
Хакерство во благо
Девять лет подряд информационную
безопасность обсуждают на форуме Positive Hack Days 9 (PHDays 9). Организатор
– компания Positive Technologies – приглашает на него специалистов для
обмена опытом по предупреждению хакерских
атак.
Чтобы набраться такого опыта, многие из них пытаются "взломать" собственные продукты, а иногда даже заказывают "взлом" у специалистов. Последние
проводят анализ продукта и ищут все возможные уязвимости. Затем уже
разработчики на основе этого анализа устраняют бреши в системе защиты,
если они имеются.
© РИА Томск. Яна Резниченко
Positive Hack Days 9
Мобильные приложения
В Томске работает отдел компании Positive Technologies, который занимается исследованиями безопасности
мобильных приложений. Основная тематика работы – как раз уязвимости банковских приложений. Руководитель подразделения Николай Анисеня
рассказал РИА Томск о результатах исследований, которые были представлены
на PHDays 9.
© РИА Томск. Яна Резниченко
Positive Hack Days 9
"Мы с командой экспертов занимаемся анализом защищенности именно (мобильных)
приложений. Естественно, наша работа касается особенностей работы операционных
систем – Android, iOS… К
нам приходят банки и говорят, чтобы мы проверили их мобильное приложение. Мы
проводим анализ защищенности, в том числе и механизмов аутентификации", – сказал Анисеня.
Что такое аутентификация? Это проверка подлинности. В случае
с банковскими приложениями, аутентификация – это ввод пароля при запуске. Сейчас приложения банков могут использовать для проверки не только
набор цифр, но и отпечатки пальцев, что, кажется, гораздо проще и надежнее. Но
только на первый взгляд.
Просто vs безопасно
Результаты исследований Positive Technologies говорят о том, что у мобильных приложений банков возникают проблемы при хранении и передаче данных. Перехватить или подобрать учетные данные для доступа можно к каждому третьему приложению. При этом
плохо защищены и сервера мобильных банков: уязвимости высокой степени
риска обнаруживаются в каждой исследованной системе.
"Мало кто знает из пользователей: если вы
соглашаетесь входить в мобильный банк по отпечатку пальца, приложение вынуждено сохранить
на вашем устройстве какие-то данные, которые потом буду использованы для входа
в банк. Если разработчик постарался, то там будут какие-то токены (единица
учета данных – Ред.), которые живут недолго", – пояснил Анисеня.
В ином случае на устройстве сохранятся пароли и ПИН-коды. И если телефон будет потерян или украден, эти данные с легкостью
можно будет извлечь. Однако у способа входа в приложение по отпечатку пальца есть и
плюс – ваш пароль никто не сможет подсмотреть.
"Есть люди, которые имеют доступ к вашему
отпечатку пальца. В случае компрометации отпечатка пальцев его не так-то
легко сменить. Не стоит вводить в заблуждение насчет того, что эта упрощенная
аутентификация сделает ваш мобильный банк безопаснее. Скорее наоборот – делает удобнее,
но безопаснее все-таки использовать надежный пароль", – пояснил
специалист.
© РИА Томск. Яна Резниченко
Positive Hack Days 9
При этом надежным эксперт считает пароль из 12 символов, в котором есть буквы разного регистра, цифры и знаки. Как показал опрос сотрудников редакции РИА Томск, мобильные приложения разных банков, как правило, не предполагают использование пароля больше шести знаков.
Стоит ли бояться?
Собеседник объяснил, что разработчики изначально проектируют свои
приложения таким образом, чтобы снизить возможность хакерской атаки. Потому
перед тем, как выпустить приложение или обновление к нему, разработка
тщательно тестируется, в том числе на попытки взлома.
По данным Positive Technologies, в 2018 году
доля критических уязвимостей онлайн-банков снизилась в два раза и достигла 15%
(в 2017 году – 32%). Однако и доля атак на такие сервисы выросла за год в пять раз и в 2018 году составила 31% (в 2017
году – 6%). При этом актуальность проблемы, связанная с первичной
аутентификацией пользователя, падает.
Удобство использования облегченной авторизации с помощью отпечатка пальца неоспоримо. Но прежде, чем использовать такие методы для входа в приложение с данными о ваших финансах, необходимо определиться – что для вас важнее: комфорт или безопасность. Как говорится, предупрежден – значит вооружен.