به گزارش ایران اکونومیست ؛ شرکتهای Accenture و NowSecure، آسیبپذیری برنامههای بانکی تلفن همراه را در ۱۵ موسسه بانکی بررسی کردهاند. آنها نسخههای iOS و Android برنامههای بانکی این موسسات را آزمایش کرده و دریافتند تمامی برنامههای مورد آزمایش قرار گرفته حداقل دارای یک مسئله امنیتی است.
خطرات امنیتی شناسایی شده:
• امکان دسترسی برنامهها به فایلهای نوشتاری.
• چک نکردن SSL در ارتباطات رمزگذاری نشده، به عنوان مثال: برنامههای IOS که مورد آزمایش قرار گرفتند مشکلی نداشتند.
• آسیبپذیریهای برنامههای اضافی مانند: کدهای راه اندازی از راه دور.
• عدم تطبیق منابع برنامه که اجازه میدهد به مهندسی معکوس در برنامههای اندروید دسترسی داشته باشیم.
• دادههای حساس با ترافیک TLS، که در ۸۰ درصد از برنامههای بانکی IOS از طریق پروتکل SSL تست شده است.
• نبود امنیت در ۶۰درصد از برنامههای بانکی IOS که ATS را غیرفعال کرده و اجازه میدهد بدون در نظر گرفتن پیکربندی HTTP و HTTPS اتصال به سرور برقرار شود.
• موسسات بانکی زمانی که اقدام به بازنگری در مسائل مهم امنیتی خود کردهاند، در مورد خطرات Heartbleed, MITM اقدامات کمی را انجام دادهاند.
• بسیاری از موسسات گامی مناسب را برای تایید اعتبار خود در نظر گرفتهاند اما در یک انتخاب نامناسب از تکنولوژی پیام کوتاه برای احراز هویت استفاده کردهاند.
نکاتی برای رفع خطرات امنیت بانکداری تلفن همراه:
محققان، ارتباطات ناامن را به عنوان بزرگترین خطر در نظر گرفتهاند و اشاره کردهاند که امنیت در انتقال دادهها از طریق کانالهای ارتباطی، یک چالش برای توسعهدهندگان است.
تیمهای توسعه باید تلاش کنند امنیت درون SDLC تلفن همراه، با در اختیار داشتن امنیت و نظارت امنیتی مناسب با آموزش و آگاهی و تست توسعهدهندگان درگیر کنند.
سازمانها همچنین باید یک استراتژی برای انجام آسیبپذیریهای منظم داشته باشند که بتوانند درک جامعی از محیط امنیتی تلفن همراه را توسط تست نفوذ، فاز برنامه و بررسی کد منبع در اختیار داشته باشند.