Согласно результатам нового исследования защищенности мобильных приложений для iOS и Android 16 ведущих банков России, проведенного компанией Digital Security, 68% банков позволяют вывести средства через мобильное приложение после замены сим-карты. Таким образом, злоумышленники могут похищать деньги со счетов клиентов.
Также эксперты Digital Security обнаружили, что 18% банков позволяют раскрывать конфиденциальные данные клиента по телефону, в том числе узнавать баланс счета, информацию о движении средств, что потенциально может привести к краже денег и другим негативным последствиям. В 62% рассмотренных банков доверяют номеру, с которого совершается звонок в кол-центр, за счет чего возможно получить приватные данные, зная только номер телефона жертвы. Из всех рассмотренных мобильных банковских клиентов 18% не имеют второго фактора защиты для входа на обеих платформах (iOS и Android).
Помимо этого, более половины изученных мобильных банковских клиентов на iOS сохраняют критичные данные в памяти, в шести из 16 приложений на Android пароль остается в памяти после завершения сессии. Рассмотренные инструменты позволяют раскрыть координаты пользователя (семь из 16 на iOS; четыре из 16 на Android), что также может быть использовано злоумышленниками при реализации атаки.
При отборе материалов для анализа специалисты Digital Security руководствовались рейтингами самых устанавливаемых банковских приложений App Store и Google Play из раздела «Финансы» и списка «Топ-100 российских банков» (по версии Банки.ру на ноябрь 2017 г.). В конечный список вошли 16 банковских приложений, а список мобильных операторов был ограничен «большой четверкой».
Источник: Банкир.Ру