بررسی برنامههای بانکی تلفن همراه در پانزده موسسه بانکی نشان میدهد که تمام این برنامهها حداقل دارای یک مسئله امنیتی هستند.
منبع : ایبنا
بررسی برنامههای بانکی تلفن همراه در پانزده موسسه بانکی نشان میدهد که تمام این برنامهها حداقل دارای یک مسئله امنیتی هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکتهای Accenture و NowSecure، آسیبپذیری برنامههای بانکی تلفن همراه را در ۱۵ موسسه بانکی بررسی کردهاند. آنها نسخههای iOS و Android برنامههای بانکی این موسسات را آزمایش کردند و دریافتند تمامی برنامههای مورد آزمایش قرار گرفته حداقل دارای یک مسئله امنیتی هستند.
امکان دسترسی برنامهها به فایلهای نوشتاری، آسیبپذیریهای برنامههای اضافی مانند کدهای راهاندازی از راه دور ازجمله خطرات امنیتی شناسایی شده هستند.
چک نکردن SSL در ارتباطات رمزگذاری نشده نیز یکی از این موارد بود، به عنوان مثال برنامههای IOS که مورد آزمایش قرار گرفتند مشکلی نداشتند. عدم تطبیق منابع برنامه که اجازه میدهد به مهندسی معکوس در برنامههای اندروید دسترسی داشتهباشیم، مشکل دیگری بود که محققان پیدا کردند.
دادههای حساس با ترافیک TLS که در ۸۰ درصد از برنامههای بانکی IOS از طریق پروتکل SSL تست شدهاست، نبود امنیت در ۶۰ درصد از برنامههای بانکی IOS که ATS را غیرفعال کرده و اجازه میدهد بدون در نظر گرفتن پیکربندی HTTP و HTTPS اتصال به سرور برقرار شود از دیگر خطرات شناسایی شدهبودند.
همچنین این محققان دریافتند که موسسات بانکی زمانی که اقدام به بازنگری در مسائل مهم امنیتی خود کردهاند در مورد خطرات Heartbleed, MITM اقدامات کمی را انجام دادهاند. از طرفی بسیاری از موسسات گامی مناسب برای تایید اعتبار خود در نظر گرفتهاند، اما در یک انتخاب نامناسب از تکنولوژی پیام کوتاه برای احراز هویت استفاده کردهاند.
محققان، ارتباطات ناامن را به عنوان بزرگترین خطر در نظر گرفتهاند و اشاره کردهاند که امنیت در انتقال دادهها از طریق کانالهای ارتباطی، یک چالش برای توسعهدهندگان است. تیمهای توسعه باید تلاش کنند امنیت درون SDLC تلفن همراه با در اختیار داشتن امنیت و نظارت امنیتی مناسب با آموزش و آگاهی و تست توسعهدهندگان درگیر کنند.
سازمانها همچنین باید یک استراتژی برای انجام آسیبپذیریهای منظم داشتهباشند که بتوانند درک جامعی از محیط امنیتی تلفن همراه را توسط تست نفوذ، فاز برنامه و بررسی کد منبع در اختیار داشتهباشند.