Telekomunikacja jak na dłoni
Wiadomości Bezpieczeństwo mobilnych aplikacji polskich banków

Bezpieczeństwo mobilnych aplikacji polskich banków

sirmark 9 Listopada 2016 17:37

3 0

Nawet w aplikacjach bankowych znajdują się poważne błędy - wynika z raportu Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce opublikowanego przez firmę PGS Software. Na szczęście nie ma potrzeby rezygnacji z tych aplikacji, bo stają się coraz lepsze.



Wyniki z badania zostały wstępnie przedstawione na konferencji Security PWNing przez Tomasza Zielińskiego. W ramach raportu sprawdzono dziewiętnaście aplikacji mobilnych dla systemu Android, udostępnionych przez banki działające na terenie Polski.

Autorzy po założeniu rachunku w każdym banku, przeprowadzili kilka podstawowych operacji, starając się jednocześnie podsłuchać transmisję danych, zapoznać się z budową aplikacji, informacjami przez nią składowanymi, ocenić dobre i złe praktyki, które miały miejsce podczas tworzenia opisywanych programów.

W badaniu testerzy zignorowali obszar płatności bezstykowych NFC/HCE, nie zajmowali się także ryzykiem związanym z użyciem wiadomości SMS jako metody uwierzytelniania, nie podejmowali także działań, które mogły doprowadzić do złamania prawa: nie próbowali dotrzeć do cudzych danych ani przełamywać zabezpieczeń bankowych serwerów.

A więc jakie są wnioski testerów? Jakość i bezpieczeństwo wielu przebadanych aplikacji mobilnych pozostawiają bardzo wiele do życzenia. W krótkich testach udało się m.in. doprowadzić do przejęcia sesji zalogowanego użytkownika, wycieku danych osobowych i przejęcia fragmentu maskowanego hasła dostępu. W logach systemowych odnaleziono identyfikatory logowania, tokeny sesji czy dane informujące o liczbie usług określonego typu. Podsłuchano transmisję danych wielu aplikacji. W kilku przypadkach wymiana danych miała miejsce otwartym tekstem, przez co może zostać zmodyfikowana w dowolnym miejscu między nadawcą a odbiorcą. Innym razem aplikacjom nie przeszkadzał "lewy" certyfikat bezpieczeństwa, podstawiony celowo i pozwalający na rozszyfrowanie przesyłanych danych. Do sklepu trafiła także aplikacja, w zasobach której znalazł się plik tekstowy z kompletem testowych danych logowania na środowisku produkcyjnym.




Skąd tyle błędów w aplikacjach, które teoretycznie powinny zapewniać szczególne bezpieczeństwo? Autorzy wskazują, że w niektórych wypadkach zawinili sami programiści (lub podwykonawcy, którymi wspierały się bankowe zespoły IT). Czasem wina leżała po stronie kontroli jakości, a czasem odpowiedzialna była też sama platforma - system Android, który słynie z fragmentacji; a wielu użytkowników korzysta z jego przestarzałych wersji.

Problemy dla każdej aplikacji szczegółowo zostały opisane w raporcie załączonym na końcu wiadomości.

Po zakończeniu badania, wszystkie instytucje zostały powiadomione o wynikach i zapewniono im czas na poprawienie aplikacji. W tym miejscu autorzy zgłaszają jednak inny problem. Większość instytucji nie miała procedur pozwalających na poufne zgłaszanie błędów. Zabrakło odpowiednich wskazówek na stronach WWW oraz wytycznych dla BOK. W kontaktach z bankami autorzy nalegali na użycie szyfrowania PGP, dzięki któremu wrażliwe informacje mógł odczytać tylko wskazany, zajmujący się bezpieczeństwem pracownik banku. Tymczasem w niektórych wypadkach testerów proszono, by potencjalnie niebezpieczne dane przekazali przez telefon szeregowemu pracownikowi zewnętrznego call center - skąd miały trafić do ogólnodostępnego formularza reklamacyjnego!

Czy klienci powinni się zatem wystrzegać bankowych aplikacji mobilnych? Raczej nie - powoli stają się lepsze, a korzystanie z internetowego kanału dostępu również wiąże się z pewnym ryzykiem.

Na koniec lista przetestowanych aplikacji:
  • PKO Bank Polski (pl.pkobp.iko)
  • Pekao SA (eu.eleader.mobilebanking.pekao)
  • Bank Zachodni WBK (pl.bzwbk.bzwbk24)
  • mBank (pl.mbank)
  • ING Bank Śląski (pl.ing.ingmobile oraz pl.ing.mojeing)
  • Getin Noble Bank (com.getingroup.mobilebanking)
  • Bank Millennium (wit.android.bcpBankingApp.millenniumPL)
  • Raiffeisen Polbank (eu.eleader.mobilebanking.raiffeisen)
  • Citi Handlowy (com.konylabs.cbplpat)
  • BGŻ BNP Paribas (com.comarch.mobile.banking.bnpparibas)
  • BPH (pl.bph)
  • Alior Bank (com.comarch.mobile)
  • IdeaBank (pl.ideabank.mobilebanking)
  • Eurobank (pl.eurobank)
  • Credit Agricole (com.finanteq.finance.ca)
  • T-Mobile Usługi Bankowe (alior.bankingapp.android)
  • Orange Finanse (com.orangefinanse)
  • Bank SMART (pl.fmbank.smart)

Zobacz: raport "Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce"

Źródło tekstu: PGS Software, wł     

Dodaj do:

Tagi: bezpieczeństwo | bank | aplikacje

w sumie: 14
  • 0

    1.  2016-11-09 18:15:18

    No pięknie ... !

  • 0

    2.  2016-11-09 18:38:49

    Który najgorszy i najlepszy nie podali

  • 0

    3.  2016-11-09 19:30:46

    Gratuluję naiwności użytkownikom bankowości mobilnej.

  • 1

    4.  2016-11-09 19:32:07

    Andrzej24 - wg jakiego kryterium mieliby to oceniać?

  • 1

    5.  2016-11-09 19:34:16

    Przecież pełny raport jest załączony w linku pod wiadomością. Kto chce, ten może się z nim zapoznać.

  • 0

    6.  2016-11-09 19:39:17

    4@ według najwięcej dziur w aplikacji. Chyba, że wszyscy mieli po jednej luce

  • -1

    7. ~  2016-11-09 20:04:17  host: apn-95-41-18-95.dynamic.gprs.plus.pl

    Żenua normalnie Walduś! To juz lepiej korzystać z przeglądarki, ale na Windows Mobile, bo przecież nie twej z Androdziurawca :D

  • 1

    8. ~Tomek Zieliński  2016-11-09 21:54:31  host: pgs-67.technologpark.net

    Mile widziany byłby link do strony źródłowej zamiast kopiowania PDF-a:
    http://tlp.is/bq3

  • -1

    9. ~gość  2016-11-10 00:13:05  host: public-gprs171347.centertel.pl

    Dlatego nie należy na androidzie korzystać z aplikacji wrażliwych takich jak bankowe. Mozna się też logować przez stronę banku w przeglądarce, napewno bezpieczniejsze jak aplikacja.

  • 0

    10. ~  2016-11-10 03:50:34  host: 89-72-158-28.dynamic.chello.pl

    8: nie płacz - masz podane: "Źródło tekstu: PGS Software" Jak zmienicie za 5 lat strukturę waszej strony to moją to nadzorować i poprawiać artykuł?

  • 0

    11. ~GOŚĆ  2016-11-10 07:09:54  host: n08-04-08.opera-mini.net

    @8Tomek podaje Ci link: http://tlp.is/apd
    http://tlp.is/6kf

  • 0

    12.  2016-11-10 12:09:31

    @ 2. Andrzej24
    Najlepiej wypadł Bank Millennium, naj mniej luk i najszybsza reakcja na zgłoszone problemy (jako jedyny wysłał papierowe podziękowanie za zgłoszenie luki i gadżet) . Najgorzej Idea Bank

  • 0

    13. ~o2.najlepszy  2016-12-03 17:37:13  host: user-94-254-243-81.play-internet.pl

    Dałem,mu swoje dane intymne, osiem zł zadatku i w zamian za to otrzymałem 50 minut do wszystkich ale bez internetu. Nie działa on zarówno w smartfonie ani morskie. Inne karty innych operatorów działają wyśmienicie. I co o tym sądzicie?

  • 0

    14. ~poprawka  2016-12-03 17:42:20  host: user-94-254-243-81.play-internet.pl

    Miało być ze Internet w modemie też nie działa na o2mobile. Serdecznie polecam tego operatora. Stan.

Dodaj swoją opinię

Do prawidłowego działania formularza wymagana jest akceptacja plików cookie.

host: ec2-54-163-92-62.compute-1.amazonaws.com


Serwis TELEPOLIS.PL zastrzega sobie prawo redakcji, skrótów, bądź usunięcia opinii zawierającej treści zabronione przez prawo, wulgarne, obraźliwie lub w inny sposób rażąco naruszające zasady współżycia społecznego. Komentarze są opiniami czytelników, za które ponoszą oni wyłączną odpowiedzialność. Nie są oficjalnymi opiniami serwisu TELEPOLIS.PL i jego redakcji. Jednocześnie przypominamy, że osoba zamieszczająca opinię może ponieść za jej treść odpowiedzialność karną i/lub cywilną.
Usuwane będą także komentarze zawierające oferty handlowe, numery telefonów, adresy e-mail czy komunikatorów oraz komentarze mocno odbiegające od treści wiadomości.