Большинство популярных приложений для совершения мобильных платежей не отличаются высокой степенью защищенности. Учитывая повышенный интерес киберпреступников к мобильным системам и устройствам, это должно беспокоить многих.

В этом уверены авторы отчета Bluebox: как показало исследование, с учетом современных требований и реалий мобильные платежи защищены из рук вон плохо.

В ходе исследования компания проанализировала популярные мобильные платежные сервисы (включая Apple Pay, Google Wallet и Samsung Pay), онлайн-маркетплейсы с возможностью покупки в один клик (Amazon, BestBuy, Target), системы мобильных переводов между счетами (Venmo, Square Cash, SnapCashto) и приложения, которые напрямую подключены к банковским счетам (Dash, Uber, Lyft).

Команда Bluebox пришла к выводу, что для всех платежных приложений характерны три серьезных изъяна. Первым из них является слабая защита каналов коммуникации с сервером, из-за чего трафик может быть перехвачен злоумышленниками.

Вторая проблема связана с использованием стороннего кода в приложениях — его доля достигает 75% всего программного кода. При этом заимствованная часть кода не проходит должных проверок и аудитов безопасности. Таким образом, хакеры могут использовать уязвимости в широко используемых библиотеках.

В-третьих, ни одно из проверенных экспертами приложений не использует шифрование пользовательских данных, что оборачивается большой проблемой в случае взлома, утери или кражи устройства.

В итоге в Bluebox сочли, что все приложения выборки могут быть взломаны в результате атак, связанных с перехватом трафика, модификацией кода или эксплуатацией уязвимостей в DLL-библиотеках.

Принимая во внимание, что в настоящее время по всему миру проходят самые массовые распродажи года — «Черная пятница» и «Киберпонедельник», а также учитывая растущую популярность мобильных платежей и вовлеченность таких гигантов, как Google, Apple и Samsung, в ближайшее время можно ожидать активизацию атак на этом фронте.

Категории: Аналитика, Главное, Уязвимости