W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie. Więcej szczegółów w naszej Polityce Prywatności.

Niebezpieczeństwa mobile bankingu

Listopad 9, 2016, Krzysztof Piskorski

Niemal wszystkie banki oferują dziś własne aplikacje mobilne. Chętnie je reklamują, walcząc o upragnionych młodych klientów. Sami klienci równie chętnie z nich korzystają, bo „bankowe apki” są wygodne i łatwo dostępne. Ale czy są także bezpieczne? Eksperci z PGS Software postanowili to sprawdzić. To, co znaleźli, niemile ich zaskoczyło…

Dzisiaj udostępniamy szczegółowy raport pod tytułem „Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce”, stworzony na podstawie testu, który objął aż 18 produktów największych banków detalicznych: PKO BP, Pekao SA, Banku Zachodniego WBK, mBanku, ING Banku Śląskiego, Getin Noble Banku, Banku Millenium, Idea Banku, Alior Banku – i innych.

Po zakończeniu badania, wszystkie instytucje zostały powiadomione o wynikach. Zgodnie z zasadami „responsible disclosure”, zapewniliśmy im czas na poprawienie aplikacji. Nie chcieliśmy narażać niewinnych klientów, publikując dane o wciąż istniejących, poważnych słabościach…

Ile ich znaleźliśmy?

Niestety – zbyt wiele, aby zachować spokój ducha przy korzystaniu z „mobile bankingu”.

Niektóre opisane w raporcie problemy będą zrozumiałe głównie dla programistów. Inne są oczywiste dla każdego: jak możliwość wykonania zrzutów ekranu, na których znajdowały się wpisane przez użytkownika dane logowania. Lub aplikacja, która po wywołaniu pewnych funkcji otwierała serwis bankowy w przeglądarce telefonu, przekazując do niej zalogowaną sesję. Przy czym robiła to za pomocą zwykłego, tekstowego linku. Jego „uprowadzenie” pozwalało – bez dalszej weryfikacji – otworzyć panel zarządzania kontem na dowolnym innym komputerze!

Jeśli to wydaje się sporym niedopatrzeniem, co powiedzieć o aplikacji, która zawiera plik z testowymi nazwami i hasłami do logowania na środowisku produkcyjnym? Albo o ignorowaniu fałszywego certyfikatu bezpieczeństwa, dzięki czemu możliwe było przechwytywanie i modyfikowanie całej komunikacji między klientem a bankiem?

Czasem problemem okazywało się nawet odróżnienie prawdziwych aplikacji od niebezpiecznych podróbek w sklepie Google Play!

Po długą listę przykładów odsyłamy do pełnego raportu: POBIERZ RAPORT

PGS Software: Raport bankowy 2016

Skąd tyle błędów w aplikacjach, które teoretycznie powinny zapewniać szczególne bezpieczeństwo? W niektórych wypadkach zawinili sami programiści (lub podwykonawcy, którymi – jak odkryliśmy – wspierały się bankowe zespoły IT). Czasem wina leżała po stronie kontroli jakości (albo jej braku). Czasem odpowiedzialna była też sama platforma – system Android słynie z fragmentacji; wielu użytkowników korzysta z jego przestarzałych wersji. Aplikacje bankowe powinny bronić się przed znanymi lukami systemu operacyjnego. Niestety, często tego nie robią.

Odnieśliśmy ogólne wrażenie, że w wypadku tej kategorii produktów marketing wyprzedził rzeczywistość. Wiele z nich tworzono w widocznym pośpiechu, często ignorując dobre praktyki software developmentu.

Tomasz Zieliński, Team Leader w PGS Software oraz główny autor raportu, komentuje sprawę następująco:

„Przyszłość mobilnej bankowości nie została jeszcze określona. Na razie wygrywa wygoda dostępu do rachunku i płatności bezgotówkowych (jak BLIK czy wirtualizowane karty płatnicze). Można jednak wyobrazić sobie sytuację, w której kradzież środków przy użyciu dziesiątek czy setek tysięcy telefonów spowoduje całkowite porzucenie aplikacji bankowych. Bankom powinno zależeć, aby taki scenariusz pozostał fikcją.”

Nam również na tym zależy, dlatego – jak wspomniano – banki otrzymały szczegółowe opisy odkrytych błędów. Przypominamy jednak, że zespół badawczy PGS Software prześlizgnął się tylko po powierzchni. Testerzy nie podejmowali działań, które mogły doprowadzić do złamania prawa: nie próbowali dotrzeć do cudzych danych ani przełamywać zabezpieczeń bankowych serwerów. Prawdziwy napastnik nie będzie miał takich skrupułów. I – prawdopodobnie – odkryje nowe słabości, do których nie mieliśmy okazji dotrzeć.

Zresztą bardziej od konkretnych błędów niepokoją nas dwa fakty. Pierwszy jest taki, że większość instytucji nie miała procedur pozwalających na poufne zgłaszanie błędów. Zabrakło odpowiednich wskazówek na stronach WWW oraz w wytycznych dla Biur Obsługi Klienta. W kontaktach z bankami nalegaliśmy na użycie PGP, czyli szyfrowania, dzięki któremu wrażliwe informacje mógł odczytać tylko wskazany, zajmujący się bezpieczeństwem pracownik banku. Tymczasem w niektórych wypadkach testerów proszono, by potencjalnie niebezpieczne dane przekazali przez telefon szeregowemu pracownikowi zewnętrznego call center – skąd miały trafić do ogólnodostępnego formularza reklamacyjnego!

Jeszcze bardziej niepokojący wydaje się fakt, że wszystkie błędy zostały odnalezione wyłącznie dzięki naszej inicjatywie. Dzięki temu, że wpadliśmy na pomysł przyjrzenia się sektorowi usług bankowych. Trudno liczyć, że zawsze znajdą się życzliwi, którzy wytkną błędy w aplikacjach i przekażą je w odpowiedzialny sposób.

Właśnie dlatego wiele zachodnich instytucji oferuje programy typu „bug bounty”. Zachęcają niezależnych poszukiwaczy do badania ich systemów, a potem nagradzają za trafne zgłoszenia. W Polsce podobnej inicjatywy nie podjął ani jeden z przebadanych banków! Ta zachowawczość, niechęć do poszukiwania problemów oraz ulepszania własnych rozwiązań bardzo nas niepokoi…

Czy klienci powinni się zatem wystrzegać bankowych aplikacji mobilnych? Raczej nie – powoli stają się lepsze, a korzystanie z internetowego kanału dostępu również wiąże się z pewnym ryzykiem. Poza tym mobilna bankowość nie jest wbrew pozorom najwyżej na liście priorytetów grup hakerskich. Na razie cyberprzestępcy mają bezpieczniejsze metody zarobku, jak np. plaga ataków typu ransomware, gdzie okup przekazuje się anonimową płatnością kryptowalutami. Sytuacja może się jednak w każdej chwili zmienić.

Najważniejsze, by mobilizować banki do stałego ulepszania swoich produktów i pilnować, by do ich tworzenia oraz oceny zatrudniały odpowiednio wykwalifikowane zespoły. Nigdy nie wiadomo, kto – nawet w tej chwili – może szukać ukrytych furtek i błędów w systemach, na których tak polegamy…

Najnowsze wpisy