Сегодня смартфоны и планшеты получили бурное развитие и в некоторых компьютерных изданиях всерьез обсуждается грядущая смерть сегодняшних настольных ПК и ноутбуков. И действительно, современные смартфоны/планшеты — это практически те же компьютеры, причем вполне сопоставимые по вычислительной мощности с ПК.
Зона применения таких устройств постоянно растет, и сегодня уже никого не удивить тем, что просмотр Интернета, электронная почта, а вслед и мобильный банкинг доступны нам в любом месте в любое время. Вместе с тем не будем отрицать, что это несет с собой целый ряд новых угроз безопасности, характерных только для данных устройств и приложений.
На мой взгляд, специфичными для мобильных устройств являются следующие угрозы:
- Устройство может быть утеряно (украдено)
- В силу широкого распространения смартфонов (планшетов) армия пользователей данных устройств растет намного быстрее, чем уровень знаний соответствующих пользователей. Таким образом, понимание требований информационной безопасности и безопасности персональных данных оказывается у мобильных пользователей в среднем гораздо ниже, чем у пользователей ПК, хотя, будем откровенны, пользователи ПК тоже не блещут знаниями.
- В силу широкого спектра ОС и производителей мобильных устройств (особенно на базе Android) мы имеем дело с зоопарком ОС, версий и даже подверсий у разных производителей «железа».
- Отсутствие единой политики обновлений.
- Легкость Rooting у смартфонов Android и Jailbreak у смартфонов Apple.
- Отсутствие единых стандартов безопасности мобильных приложений.
- Большинство пользователей мобильных устройств не использует антивирусное ПО или если и использует, то бесплатное от неизвестных вендоров, качественную работу которого никто не может гарантировать.
- Несмотря на отсутствие в данный момент вредоносного ПО для non-jailbreak iPhone, фишинговые атаки на пользователей данных устройств никто не отменял. А антифишинговые фильтры, вернее сторонние браузеры с такими фильтрами, несмотря на их бесплатность, представляют собой огромную редкость ввиду все той же недоинформированности пользователей.
- Владелец устройства может использовать SMS OTP как средство подтверждения операции. А это несет дополнительный существенный риск, так как устройство, принимающее одноразовый пароль, и устройство доступа к счету — фактически единое устройство, значит вырастает риск хищения такого пароля-подтверждения.
- Практически отсутствуют нескомпроментированные механизмы подтверждения транзакций в мобильных приложениях.
- Существует возможность установки приложений без ведома клиента оператором мобильной связи через механизм SIM toolkit.
- Отдельной строкой стоит вспомнить риски использования общедоступных Wi-Fi сетей. Сколько ни говорится об этом, а пользователи все равно попадают на эту удочку.
На самом деле это далеко не исчерпывающий перечень возможных рисков использования мобильного банкинга. Но даже такой перечень впечатляет.
Кроме того, стоит отметить основные недостатки приложений мобильного банка:
- Небезопасное хранение приложений.
- Уязвимость клиентского приложения.
- Слабая защита данных при передаче.
- Небезопасное взаимодействие со сторонними приложениями.
- Некорректная настройка прав доступа.
Если все так плохо, то почему мы используем мобильный банкинг?
На самом деле нас спасает сегодня то, что у злоумышленников есть более доходные каналы получения денег. И то что суммы, перемещаемые с помощью мобильного банкинга, сравнительно невелики.
Автор статьи — Microsoft Most Valuable Professional, Microsoft Security Trusted Advisor.