Новости

Positive Technologies представила результаты исследования уязвимостей в системах онлайн-банкинга

21.05.2015
Positive Technologies представила результаты исследования уязвимостей в системах онлайн-банкинга
20 мая 2015 года компания «Positive Technologies» опубликовала аналитический отчет за 2013-2014 года об уязвимостях систем дистанционного банковского обслуживания (ДБО) крупных российских банков.

Всего в рамках исследования было проанализировано 28 систем (в том числе мобильных) ДБО физических (77%) и юридических лиц (23%).

Самыми распространенными уязвимостями являются недостатки механизмов идентификации, аутентификации и авторизации (42%), связанные с ошибками реализации механизмов защиты систем ДБО, заложенных разработчиками. На втором месте — ошибки в коде приложений (36%). Большинство остальных уязвимостей связано с недостатками конфигурации программного обеспечения (22%).

44% обнаруженных уязвимостей имеют высокий уровень риска, 26% уязвимостей — средний уровень риска, 30% уязвимостей — низкий уровень риска. В целом уязвимости высокого уровня риска были выявлены в 78% исследованных систем.

В 79% систем ДБО были выявлены различные недостатки механизмов авторизации и защиты транзакций. При этом в 42% случаев злоумышленник мог получить несанкционированный доступ к данным пользователей (персональным данным, информации о счетах, платежах и т. п.), а в 13% - напрямую осуществлять банковские операции от лица других пользователей.

В 57% систем ДБО встречались уязвимости, связанные с возможностью идентификации используемого программного обеспечения и с предсказуемыми форматами идентификаторов пользователей. Равное количество систем ДБО (54%) содержали ошибки в программном коде типа «межсайтовое выполнение сценариев» и уязвимости, позволяющие реализовать атаки на сессии пользователей. К последним относятся ошибки, связанные с некорректным завершением сессий, некорректной настройкой cookie-параметров, возможностью параллельной работы нескольких сессий для одного пользователя, отсутствием привязки сессии к IP-адресу клиента и др. Успешная эксплуатация перечисленных уязвимостей позволяла злоумышленнику получить доступ к личному кабинету пользователя с его привилегиями.

В 46% систем была обнаружена уязвимость высокой степени риска «внедрение внешних сущностей XML», эксплуатация которой позволяла злоумышленнику получить доступ к файлам, хранящихся на уязвимом сервере, данным об открытых сетевых портах узла, а также вызвать отказ в обслуживании всей системы ДБО.

Среди систем ДБО, предназначенных для мобильных устройств, большее число критических уязвимостей содержит программное обеспечение для ОС Android (70%), по сравнению с программным обеспечением для ОС iOS (50%). Уязвимости мобильных систем ДБО преимущественно связаны с небезопасной передачей данных (73%), недостаточной защитой сессий (55%) и небезопасным хранением данных в мобильном приложении (41%).

Несмотря на то что большинство уязвимостей имеют средний или низкий уровень риска, их эксплуатация в конкретных системах ДБО может привести к серьезным последствиям, включая кражу конфиденциальных данных (89% систем) и кражу денежных средств (46%).