Moliyaviy mobil ilovalarning 97 foizi hujumlardan himoyalanmagan
Ko’pgina ilovalar o’z kodlarida sotuvchining serverlariga kirishga imkon beradigan va foydalanuvchi ma’lumotlarini buzadigan maxfiy ma’lumotlarni o’z ichiga oladi.
Aite Group tomonidan o’tkazilgan va Arxan Technologies buyurtmasi bo’yicha o’tkazilgan tadqiqotga ko’ra, yirik moliyaviy kompaniyalarning mobil ilovalarining aksariyati tajovuzkorlar tomonidan bank ma’lumotlari kabi maxfiy ma’lumotlarga kirish uchun ishlatilishi mumkin bo’lgan xavfsizlik zaifliklariga moyil. Tadqiqotchilar Google Play Store’da mavjud bo’lgan turli sohalardan (bank ishi, mobil to’lovlar, sug’urta va boshqalar) 30 ta ilovani tahlil qilishdi va ularning deyarli barchasida kod yoki pastki papkalarda, jumladan, shaxsiy kalitlar, API kalitlari va sertifikatlarda maxfiy ma’lumotlar mavjudligini aniqladilar, ular jinoyatchilar tomonidan sotuvchining serverlariga kirish va foydalanuvchi ma’lumotlarini buzish uchun ishlatilishi mumkin.
Hisobotga ko’ra, tahlil qilingan ilovalarning 97 foizida teskari muhandislikdan himoya yo’q, bu esa onlayn mavjud vositalar yordamida manba kodiga osongina kirish imkonini beradi. Aite Group kompaniyasining katta tahlilchisi Alissa Naytning so’zlariga ko’ra, ilovani buzib kirish o’rtacha 8,5 daqiqa vaqtni oldi.
Bundan tashqari, ilovalarning 90 foizi qurilmadagi boshqa ilovalar bilan xizmatlarni almashish orqali ma’lumotlarni sizdirib yuborgan va shu bilan boshqa ilovalarga moliyaviy ma’lumotlarga kirishga imkon bergan.
Ma’lum bo’lishicha, ilovalarning 83 foizi ma’lumotlarni qurilmaning mahalliy fayl tizimi, tashqi disklar kabi nazoratsiz joylarda saqlaydi yoki ma’lumotlarni buferga nusxalaydi, bu esa uni boshqa ilovalar uchun ochiq qiladi. Yana bir keng tarqalgan muammo zaif shifrlash edi: ilovalarning 80 foizi zaif kriptografik algoritmlardan foydalangan yoki noto’g’ri qo’llanilgan kuchli shifrlash usuliga ega bo’lgan. Bundan tashqari, ilovalarning 70 foizi xavfsiz bo’lmagan tasodifiy sonlar generatoridan foydalangan, bu esa qiymatlarni buzib kirish yoki taxmin qilishni osonlashtirgan.
Tadqiqotchilar ta’kidlashicha, ko’plab zaifliklar moliyaviy institutlar va ularning mijozlari xavfsizligiga bevosita tahdid soladi, ular hisoblarni buzish, firibgarlik yoki shaxsni o’g’irlash qurboniga aylanishi mumkin.
