В каждом онлайн-банке есть минимум одна критическая уязвимость - «Финансы»

Во всех онлайн-банках, кроме одного, в 2016 году была выявлена как минимум одна критически опасная уязвимость. В целом, уязвимости высокого уровня риска вошли в число лидеров по популярности. При этом собственные приложения банков имели более надежную защиту, чем ПО сторонних разработчиков.

Такие выводы содержатся в исследовании компании Positive Technologies, основанном на результатах анализа защищенности финансовых приложений в 2016 году. По данным экспертов компании, за год среднее число уязвимостей, приходящихся на одно финансовое приложение, снизилось с 9 до 6. Однако при этом степень риска увеличилась: если в 2015 году высокий уровень риска содержала треть уязвимостей, то в 2016 году доля таких уязвимостей возросла на 8%. Доля уязвимостей среднего уровня риска тоже выросла — на 18%.

Примечательно, что финансовые приложения, разработанные вендорами, в среднем, имели в два раза больше уязвимостей, чем собственное ПО банков. 23% выявленных у вендоров уязвимостей характеризовались высокой степенью риска. Впрочем, 39% финансовых приложений, созданных внутри банков, также содержали критически опасные уязвимости - в основном, это были недостатки авторизации и двухфакторной аутентификации. Однако код приложений собственной разработки содержал меньше ошибок и уязвимостей, чем код приложений от вендоров.

Онлайн-банки: уязвимостей стало меньше, но они стали опасней

По оценке Positive Technologies, в среднем, на каждый онлайн-банк в 2016 году пришлось по 2,1 уязвимости высокого уровня риска. Это в два раза меньше показателя прошлого года, когда компания нашла по 4,2 уязвимости. Плохая новость заключается в том, что во всех онлайн-банках, кроме одного, эксперты нашли хотя бы одну критически опасную уязвимость, и такие уязвимости лидируют по популярности.

В частности, 71% онлайн-банков имеет недостатки в реализации двухфакторной аутентификации. Эксперты выделили следующие недостатки реализации двухфакторной аутентификации (помимо ее отсутствия): генерация одноразового пароля на стороне клиента; одноразовый пароль не привязан к совершаемой операции; отсутствие ограничения по числу попыток ввода одноразового пароля; отсутствие ограничения на время жизни одноразового пароля.

«Злоумышленник, получивший доступ к учетной записи или сессии жертвы (например, при использовании подключения через публичные сети Wi-Fi), может провести чужую платежную операцию не из списка шаблонов. Единственный барьер, который ему нужно преодолеть, — процедура подтверждения операции одноразовым паролем. Однако платежная форма не имеет ограничений на попытки ввода пароля. С помощью перебора простых четырехзначных паролей злоумышленник может успешно подобрать нужный пароль за непродолжительное время, — говорит Тимур Юнусов, руководитель отдела безопасности банковских систем, Positive Technologies. — При этом пользователю будет приходить SMS-оповещение, которое, безусловно, выдаст действия мошенника».

В 25% исследованных онлайн-банков одновременно присутствовали уязвимости, связанные с недостаточной защитой от подбора аутентификационных данных и небезопасной реализацией двухфакторной аутентификации. В итоге эксплуатация найденных уязвимостей может принести банкам и их клиентам такие проблемы, как кража денежных средств (33% приложений), утечка чувствительных данных (27%) или отказ в обслуживании (13%).

Для совершения атаки на пользователя хакеру необходимо получить доступ к его учетной записи — узнать логин и пароль. «Часто учетные записи от интернет-банков буквально "лежат в открытом доступе" - найти их можно в поисковых системах. Следующий шаг — это подбор пароля, при котором его должны заблокировать после 3 некорректных попыток. Если ему удалось обойти эти ограничения, за непродолжительное время он сможет получить доступ к личному кабинету и транзакциям тех пользователей, , которые используют простые пароли», — поясняет Тимур Юнусов.

Треть мобильных приложений имела недостатки в двухфакторной идентификации

Уровень защищенности iOS-приложений по-прежнему выше, чем у приложений под Android. При этом 30% мобильных приложений для iOS и Android содержали недостатки в реализации двухфакторной аутентификации, а в 64% мобильных банков была выявлена хотя бы одна критически опасная уязвимость. В среднем, на каждое приложение пришлось по 0,9 уязвимости высокого уровня риска.

В 32% рассмотренных мобильных банков эксплуатация выявленных уязвимостей позволяла злоумышленникам расшифровать, перехватить, подобрать учетные данные для доступа в приложение или же вовсе обойти процесс аутентификации, и в результате получить доступ к мобильному приложению от лица легитимного пользователя, и совершать различные операции.

В мобильном приложении, помимо основных функций, должна быть реализована функция защиты канала связи от перехвата в публичных сетях Wi-Fi. Однако приложение не всегда справляется с такой задачей. «Для успешной реализации атаки на перехват сессии, хакер, подключенный к той же самой Wi-Fi-сети, должен представиться банком для мобильного приложения. Для этого злоумышленнику необходимо быть в одной сети с жертвой, где он принудительно пропускает весь ее трафик через себя, либо ему нужно представиться доверенной Wi-Fi-сетью, к которой подключение происходит автоматически», — поясняет Тимур Юнусов. Далее следует аналогичная схема: весь трафик проходит через хакера, который заставляет приложение поверить самоподписанному ssl-сертификату. Приложение может поверить хакеру, но в случае правильного использования Certificate Pinning происходит проверка сертификата SSL не только на валидность и корректный центр сертификации, но и на сравнение с "оригинальным" сертификатом, на создание которого у хакера не будет необходимых ключей шифрования.

По данным Positive Technologies, в прошлом году в клиентских частях мобильных приложений часто встречались уязвимости, связанные с небезопасным хранением и/или передачей данных. В 30% приложений клиентские части имели недостаточную защиту от подбора аутентификационных данных. Нередко для доступа в мобильный банк было достаточно ввести четырехзначный код. Это приводило к тому, что если в приложении отсутствует ограничение по количеству попыток ввода, злоумышленнику достаточно перебрать 10 000 вариантов, а с использованием специального ПО это не занимает много времени.

67% уязвимостей в АБС имели высокий уровень риска

Особое внимание в исследовании уделяется автоматизированным банковским системам (АБС). 67% уязвимостей, выявленных в АБС в прошлом году, имели высокий уровень риска, остальные — средний. К критически опасным уязвимостями, наиболее характерным для АБС, эксперты относят недостаточную авторизацию, недостаточную аутентификацию и внедрение внешних сущностей XML.

В прошлом году два российских банка (Русский международный банк и Металлинвестбанк) пострадали от атак на АБС, и ущерб превысил 1 млрд рублей. «Анализируя инциденты 2016 года, мы отмечали, что целевые атаки на банки во многих случаях были направлены на подмену платежных поручений. Этот вектор атак сложно реализуем, поскольку АБС обычно недоступны внешнему злоумышленнику, но и приводит к самым серьезным последствиям», — говорит руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин.