Все чаще при выборе банка его будущие клиенты обращают внимание на удобство работы с банковским мобильным клиентом для Android или iOS.
Мобильные банковские приложения: семь причин для недоверия
Fotolia/vectorfusionart

Но, помимо удобства, обращать внимание нужно и на безопасность программного обеспечения. Может ли пользователь каким-либо образом сам оценить надежность приложения?

 

Удобство или безопасность?

 

Недавно агентство Markswebb Rank & Report опубликовало ежегодный рейтинг мобильных банковских приложений. Одним из критериев попадания в него того или иного приложения стала величина пользовательской аудитории. А лидерство определялось в зависимости от его функциональности и удобства. Получилось, что чем активнее дорабатывались приложения в течение года, чем большее число технологий, ускоряющих и облегчающих работу с ними, с точки зрения пользователя, было внесено, тем больше шансов у приложения оказаться в топе рейтинга. Однако тема безопасности приложений осталась за границами исследования.

 

Ни для кого не секрет, что чаще всего максимально удобные и удовлетворяющие любым пользовательским запросам приложения страдают недостаточным уровнем безопасности. А те, которые, наоборот, ставят во главу угла усиление безопасности, не так уж удобны в использовании. Что делать? Жертвовать ли защитой в угоду комфорту? Или продолжать «плакать и колоться о неудобный, но безопасный кактус»?

 

Для того чтобы ответить на этот вопросы, мы выделили ряд критериев, которые влияют на безопасность мобильного банковского приложения. Чем большее их число реализовано в конкретном приложении, тем выше гарантии сохранности денежных средств его пользователя. Для наглядности все критерии мы сгруппировали по степени влияния на общий уровень безопасности приложения: где три звездочки присваиваются критерию, наиболее ощутимо влияющему на защищенность, а две и одна — аналогично по убывающей. «Идеальных» приложений не существует, однако и здесь действует принцип «самого слабого в стае»: чем больше минусов, тем больше шансов стать жертвой мошенников. Кстати, часть предложенных критериев пользователи приложений могут оценить самостоятельно, другие требует более высокой технической компетенции. Тем не менее знать о них необходимо.

 

Одноразовые пароли***

 

Первое, что необходимо понимать про пароли: отсутствие двухфакторной аутентификации с помощью СМС (или других методов) резко увеличивает шанс на успешное хищение средств со счетов клиента. Поэтому к наличию двухфакторной аутентификации мы рекомендуем отнестись с наибольшим вниманием. Тем более что как раз этот критерий не требует глубокого погружения в техническую часть.

 

На что стоит обратить внимание? Во-первых, приходят ли вообще СМС с одноразовыми паролями. Чаще всего логика разработчика приложения такова: «Вы уже используете мобильное приложение, зачем еще на него же присылать сообщение с паролем?» В результате злоумышленник, похитивший только идентификатор сессии и не захвативший ваш телефон, может проводить операции безо всяких подтверждений. Также злоумышленники могут просто подбирать логины и пароли к мобильным приложениям и, в случае успеха, получить доступ к денежным средствам владельца приложения.

 

Во-вторых, какие действия с приложением (или в нем) подтверждаются одноразовым паролем. Причем варианты в данном случае могут быть, как говорится, «в ассортименте»: регистрация, вход, финансовые операции, смена личных данных, смена пароля... Иногда в мобильном банке доступны далеко не все операции, а только шаблоны, заданные из интернет-банка, смена пароля не предполагается. И конечно же, чем меньше разрешено, тем спокойнее можно себя чувствовать. Но если учесть, что мобильные приложения по своей функциональности стремятся догнать интернет-банкинг, то о повышающем безопасность «запрете» говорить не приходится.

 

В-третьих, стоит оценить, можно ли отключить подтверждение с помощью СМС совсем: иногда встречаются абсурдные случаи, когда для того, чтобы отключить использование одноразовых паролей, нужно всего лишь нажать одну-единственную кнопку. И при этом совсем не требуется вводить дополнительный пароль из СМС.

 

Четвертый пункт: сколько попыток дается на неверный ввод пароля и что происходит далее. Есть ли ограничение на число раз некорректного ввода пароля, какова его длина, в конце концов. Так, пароль, содержащий менее пяти символов, в современных реалиях слишком ненадежен. А если вам, скажем, трижды предоставили по три попытки ввода пароля (а встречаются пороги даже в десять попыток) из-за некорректности и не заблокировали — это более чем повод задуматься о безопасности приложения.

 

Еще один нюанс, который нельзя упускать из виду, — насколько информативно содержимое подтверждающих СМС: можно ли понять, что именно ты оплачиваешь или какую операцию совершаешь. Злоумышленники, кстати, могут подделывать запросы на операции прямо «на лету», и пользователь, будучи уверен, что совершает одну операцию, на самом деле совершит другую.

 

Ну и, наконец, нельзя забывать об аппаратной привязке к сим-карте. Самый простой способ ее проверить — сходить в салон связи и поменять сим-карту на тот же номер, а затем заново совершить операцию. Если пароли будут приходить как ни в чем не бывало, это явно нехороший признак. Если же придется подтверждать смену сим-карты через звонок в банк или поход в отделение, значит ваш банк имеет защиту от мошенничества, основанного на перевыпуске сим-карт.

 

Перехват трафика***

 

Насколько легко осуществить перехват трафика с помощью установленного сертификата? Для данной проверки вам необходимо провести так называемую атаку «человек посередине». Неподготовленному человеку провести ее трудно, однако в Сети есть подробные инструкции, адаптированные для Android и для iOS. Причем забота о том, чтобы злоумышленнику было сложно провести атаку «человек посередине», лежит именно на банках. Иначе, если удастся заставить клиента установить произвольный сертификат, злоумышленники смогут с легкостью перехватывать его трафик.

 

Вредоносы и атаки***

 

Никогда не лишне выяснить, существуют ли вредоносные программы, разработанные специально под ваше мобильное приложение, — различные информационные ресурсы (вроде SecurityLab или Threatpost) регулярно публикуют данные о появившихся (или активизировавшихся) вредоносах. Стоит только ввести в поисковую строку название мобильного приложения (или банка) в сочетании со словами «хакерские атаки», «хакеры», «хищение денег» и т. д. Крылатая фраза «кто предупрежден, тот вооружен» и в данном случае сохраняет свою актуальность: что о приложении говорят клиенты в отзывах на Banki.ru, как часто появляются новости или сообщения о том, что некто совершил мошеннические операции с вашим мобильным банком? Информационное поле в Глобальной сети позволяет оценить уровень текущих рисков для пользователей различных сервисов, в том числе и мобильного банкинга. Если на клиентов вашего банка охотятся все хакеры, кому не лень, это явно повышает шанс на компрометацию вашего личного счета.

 

Реакция на подозрительные операции**

 

Вспомните, что происходит при блокировании карты: чтобы разблокировать ее, приходится идти в офис, или она автоматически разблокируется, спустя, скажем, сутки? Первое явно безопаснее, а второе — удобнее, тут не поспоришь. И это самый показательный пример компромисса между удобством и безопасностью. Например, есть банки, которые блокируют подозрительные операции, совершенные из другого (не характерного для клиента) географического региона. Хотя, уезжая, скажем, в отпуск или командировку, клиент может заблаговременно сообщить банку даты поездки и маршрут. Это позволит избежать блокировки платежных операций во время поездки. В целом чем легче последовательность действий для разблокировки счетов, тем легче это будет сделать не только их владельцу, но и злоумышленникам.

 

Операционная система**

 

Статистика наших исследований показывает, что в зависимости от того, о какой платформе идет речь (Android или iOS), ситуация также может меняться. В среднем сегодня каждое Android-приложение имеет 3,8 уязвимости, тогда как для приложений, работающих под управлением iOS, этот параметр равен 1,6. При этом уязвимости для операционных систем компании Apple эксплуатируют в реальных условиях гораздо реже, чем уязвимости для мобильных операционных систем от Google. И, соответственно, шанс быть атакованным у пользователей приложений на iOS гораздо меньше. Владельцам же Android настоятельно рекомендуется использовать антивирусное ПО, которое может уменьшить вероятность эксплуатации известных уязвимостей.

 

Автоматический поиск уязвимостей*

 

Знаете ли вы, что существуют сервисы проверки мобильных приложений? А они есть. И ими стоит пользоваться. Информацию об уязвимостях можно получить, например, воспользовавшись порталом Hackapp, что очень удобно для рядового пользователя, так как в этом случае достаточно просто разместить ссылку на приложение в AppStore. А можно загрузить APK-файл приложения под Android на АРК-analyzer.net или другом подобном ресурсе. Для начала пользователю, конечно, придется научиться скачивать APK-файл мобильного приложения — это формат архивных файлов-приложений для Android. Такой файл может иметь любое имя, но расширение всегда будет .apk (например, myAppFile.apk). Кстати, даже если сервис не нашел уязвимостей, это вовсе не означает, что их нет. И наоборот: если уязвимости найдены, это далеко не всегда значит, что они критичны. Но любая дополнительная информация о приложении будет полезна. Анализировать подобные приложения, работающие под управлением iOS, гораздо сложнее, поэтому соответствующих бесплатных автоматизированных онлайн-сервисов пока нет.

 

Обновления*

 

Только ленивый сегодня не в курсе важности своевременного обновления установленных на ПК систем. К истории с мобильными банковскими приложениями это правило также применимо. Как часто обновляется мобильное приложение? Работает ли при этом необновленная версия? Работает ли приложение на старых версиях операционной системы?

 

Если разработчики не уделяют должного внимания обновлениям операционных систем (в том числе в вопросах безопасности) и позволяют запускать свои приложения на старых операционных системах, это увеличивает шансы взлома приложения с использованием известных уязвимостей самих ОС. Особенно важно это для семейства Android, где регулярные обновления призваны устранить найденные критичные уязвимости.

 

Если же разработчики регулярно ищут и исправляют уязвимости в своих приложениях, не дают запускаться уязвимым приложениям на уязвимых системах, это ведет к тому, что среда запуска приложения становится более безопасной, чем в случае отсутствия постоянных обновлений. Кстати, исправления, связанные с безопасностью, обычно так и помечаются в истории версий в магазине приложений. Так что этот момент также можно проконтролировать самостоятельно.

 

Доверяйте, но проверяйте

 

Понятно, что сама возможность оценить уровень безопасности приложения доступна не всегда и далеко не каждому рядовому их пользователю. Однако постараться сделать это нужно, а главное, возможно (до некоторой степени). При этом не стоит излишне доверять громким заявлениям банков о безопасности и надежности их сервисов. Как банально ни звучит, лозунг «доверяй, но проверяй» стоит взять на вооружение во всех смыслах. И всегда использовать возможности для проверки приложений, их сравнения, в том числе пользуясь открытыми источниками.

 

И конечно же, необходимо соблюдать ряд мер, повышающих безопасность самого мобильного телефона. Например, не подключаться к общедоступным Wi-Fi-сетям, не устанавливать приложения из недостоверных источников, не открывать подозрительные письма и ссылки, не сообщать по телефону свои пользовательские данные (логины, пароли, одноразовые пароли из СМС, коды CVV и номера карт) и т. д. Причем эти правила не являются чем-то выходящим за пределы здравого смысла и логики. Кстати, многие из этих рекомендаций относятся не только к мобильному банкингу, но и к обычному интернет-банку.

 

Тимур ЮНУСОВ, руководитель отдела безопасности банковских систем Positive Technologies, для Banki.ru