Czy aplikacje mobilne polskich banków są bezpieczne?

Raport firmy PGS Software z testu aplikacji mobilnych największych banków detalicznych zaprezentowany na konferencji Security PWNing nie nastraja zbyt optymistycznie. Liczba znalezionych nieprawidłowości i błędów jest stosunkowo duża. Spokoju nie daje również słaba reakcja samych banków na przedstawione w raporcie problemy.

Specjaliści z PGS Software poddali testom 18 aplikacji mobilnych polskich banków detalicznych, wśród których znalazły się między innymi PKO BP, Pekao SA, Bank Zachodni WBK, mBank, ING Bank Śląski, Getin Noble Bank, Bank Millenium, Idea Bank oraz Alior Bank. Po zakończeniu badania wszystkie instytucje zostały poinformowane o wynikach i zapewniono im czas na poprawienie wykrytych błędów w aplikacjach, jeszcze przed publikacją raportu.

Sporo błędów i furtek do wykorzystania

Niektóre nieprawidłowości napotkane w trakcie testów okazały się zdumiewająco banalne do wykorzystania. W jednej z aplikacji można było wykonać zrzut ekranowy z wpisanymi przez użytkownika danymi logowania. W innej po wywołaniu odpowiedniej funkcji telefon otwierał okno przeglądarki internetowej już bez dodatkowej warstwy zabezpieczeń. Jeśli taki adres zostałby 'przechwycony' umożliwiałby cyberprzestępcy wejście do panelu zarządzania kontem z dowolnego komputera.

Jeszcze bardziej przerażająco wygląda sytuacja, w której aplikacja mobilna banku zawiera plik z kontami testowymi i hasłami do logowania, czyli pozostałość po etapie wdrażania do środowiska produkcyjnego. Zarejestrowano również przypadek ignorowania certyfikatu bezpieczeństwa, co może zaowocować możliwością przechwycenia i zmodyfikowania praktycznie całej komunikacji między bankiem i klientem.

Raport PGS Software Raport PGS Software "Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce" źródło: PGS Software

Jak tłumaczą autorzy raportu, winnych takiego stanu rzeczy należy szukać w kilku miejscach, zarówno wśród programistów lub podwykonawców odpowiedzialnych za projektowanie aplikacji, jak i przy kontroli jakości. Sytuacji nie ułatwia również spora fragmentacja Androida i fakt, że wielu użytkowników smartfonów pracujących w oparciu o system Google korzysta z jego przestarzałych wersji.

Braki w procedurach zgłaszania błędów i słaba reakcja banków

Poza samymi błędami w aplikacjach niepokój specjalistów budzi również brak bezpiecznych procedur zgłaszania błędów i dość słaba reakcja banków na zgłoszone przez autorów raportu nieprawidłowości. Największe zastrzeżenia mogą budzić przypadki, w których testerzy byli proszeni o przekazywanie potencjalnie niebezpiecznych informacji szeregowym pracownikom zewnętrznych call center. Te dane miały następnie trafić do ogólnodostępnego formularza reklamacyjnego. Ponadto na stronach banków często brakuje wyraźnych wskazówek jak należy zgłaszać takie błędy.

Jak podkreśla Niebezpiecznik.pl, na zgłoszenia nieprawidłowości odpowiedziała mniej niż połowa banków, których aplikacje mobilne brały udział w teście PGS Software. W dodatku niewielki ułamek z nich podczas korespondencji z autorami raportu używał sugerowanego przez specjalistów mechanizmu szyfrowania treści.

Mamy powody do obaw?

Zdaniem zarówno Niebezpiecznika, jak PGS Software, póki co nie ma powodów do paniki. Poza pojedynczymi incydentami wykryte błędy w aplikacjach mobilnych polskich banków detalicznych nie stanowią większego zagrożenia dla klientów. Oczywiście same instytucje mają jeszcze sporo do poprawienia.

Jak mówi Tomasz Zieliński, Team Leader w PGS Software oraz główny autor raportu:

Przyszłość mobilnej bankowości nie została jeszcze określona. Na razie wygrywa wygoda dostępu do rachunku i płatności bezgotówkowych (jak BLIK czy wirtualizowane karty płatnicze). Można jednak wyobrazić sobie sytuację, w której kradzież środków przy użyciu dziesiątek czy setek tysięcy telefonów spowoduje całkowite porzucenie aplikacji bankowych. Bankom powinno zależeć, aby taki scenariusz pozostał fikcją.

Pełna wersja raportu PGS Software: Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce (plik PDF)

Więcej o:
Komentarze (33)
Czy aplikacje mobilne polskich banków są bezpieczne?
Zaloguj się
  • 1stanczyk

    Oceniono 4 razy 4

    "póki co nie ma powodów do paniki"

    Znowu jak zwykle bezosobowo!

    Kto nie ma powodów do paniki ?
    Banki ?

    W wolnorynkowym systemie ekonomicznym banki nieomal nigdy (za wyjątkiem zagrożenia rewolucją) nie maja powodów do paniki bo doskonale wiedza, że cały wolnorynkowy system społeczno ekonomiczny i gospodarczy jest oparty na bankowości.

    Klienci ?
    Gdyby wśród klientów posługujących się mobilna bankowością nie było powodów do paniki to ta tutejsza notatka prasowa nie byłaby tak jak jest "oględna".

    "Największe zastrzeżenia mogą budzić przypadki, w których testerzy byli proszeni o przekazywanie potencjalnie niebezpiecznych informacji szeregowym pracownikom zewnętrznych call center. Te dane miały następnie trafić do ogólnodostępnego formularza reklamacyjnego. Ponadto na stronach banków często brakuje wyraźnych wskazówek jak należy zgłaszać takie błędy."

    Największe zastrzeżenia ?
    To są jakieś niepojęta żarty !

    To jest powód do dyscyplinarnego, ze skutkiem natychmiastowym zwolnienia tych, którzy z ramienia banków proponowali firmie PGS Software powyższą niczym nie zabezpieczona "platformę współpracy".

    Nie byłoby w tym może i nic aż tak złego gdyby wyniki testów PGS Software okazały się potwierdzać dobre zabezpieczenia aplikacji mobilnej bankowości w naszym kraju.

    Ale jak wynika z tej notatki tak wcale nie było ...

    Wprost przeciwnie, z tego co relacjonuje (unikając wskazywania na konkretne banki) Sebastian Górski sytuacja z wielu punktów widzenia jest więcej niż alarmująca!

    Tym podstawowym jest to typowe wśród informatycznej hołoty samozadowolenie bankowych "informatyków" !

    Wszystko, wedlug tego co na podstawie raportu PGS Software relacjonuje Sebastian Górski jest OK tak długo jak długo np w Rosji nie zechcą zaatakować naszych systemów bankowości mobilnej.

    "Jak podkreśla Niebezpiecznik.pl, na zgłoszenia nieprawidłowości odpowiedziała mniej niż połowa banków, których aplikacje mobilne brały udział w teście PGS Software."

    Tym natychmiast, bez zwłoki powinna zając się KNB po pierwsze przeprowadzając własne testy i po drugie, jeśli te potwierdza nieprawidłowości wykryte przez PGS Software surowo (karami rzędu dobrze jeśli tylko dziesiątków milionów złotych) karząc banki, które nie odpowiedziały na zgłoszenia nieprawidłowości !

    Tym wszystkim w naszym kraju dumnym z naszych informatyków warto wyjaśnić, że banki to jeśli nie jest to przynajmniej powinna być zawodowa informatyczna elita.

    Z raportu PGS Software wynika, że w naszym kraju to jest zwykła nieodpowiedzialna beztroska hołota

  • alexmac

    Oceniono 10 razy 4

    Niektórzy są zmuszeni do korzystania z takich usług (np. jeśli ciągle przebywają poza domem), ale trzeba być skończonym debilem, żeby używać "bankowości mobilnej" z własnej woli.

  • 1stanczyk

    Oceniono 1 raz 1

    www.pgs-soft.com/wp-content/uploads/2016/11/Raport_bankowy_2016.pdf

  • krolroger

    0

    Tekst wyjątkowo idiotyczny bo z jednej strony stwierdzenie, że luka pozwala na przejęcie kontroli na kontem a na koniec, że błędy nie są szczególnie groźne. Dodatkowo mamy wspomniany jeden tylko z mobilnych systemów operacyjnych co może sugerować, że tylko w nim występują luki.

  • t.t

    0

    "Jeszcze bardziej przerażająco wygląda sytuacja, w której aplikacja mobilna banku zawiera plik z kontami testowymi i hasłami do logowania, czyli pozostałość po etapie wdrażania do środowiska produkcyjnego."
    To raczej niechlujstwo - nie widzę specjalnego zagrożenia dla moich danych poprzez ujawnienie loginu i hasła do konta-demo. Robienie z tego wydarzenia gorzej świadczy o audytorze niż o audytowanym...

  • Tomasz Zakrzewski

    Oceniono 4 razy 0

    Nie, nie znacie wyników raportu, jak sugerujecie w tytule na stronie głównej. Wyniki znają zainteresowane banki.

  • sarton

    0

    wielu klientów odbiera sms z kodami potwierdzającymi transakcję ... jeśli przy okazji z tego samego telefonu korzystają aby logować się do systemu bankowego... to życzę im powodzenia .. wystarczy jedno włamanie na telefon czy fizyczna utrata telefonu i są ugotowani ..

  • wilczek1968

    Oceniono 10 razy 0

    Co komu po takim artykule, jeżeli przynajmniej nie wymieniliście najbardziej niebezpiecznych aplikacji mobilnych / banków? Opisywanie "słabości" apek byłoby pomocne dla złodziei ale podanie listy niebezpiecznych aplikacji pomogłoby przede wszystkim klientom banków...

  • rafiol

    Oceniono 1 raz -1

    Polecam zapoznac sie z calym raportem, ciekawa lektura. Pod koniec m.in. mozna poczytac o tym, jak nasze dane sa przekazywane uslugodawcom w USA, ktorzy niekoniecznie przywiazuja wage do zachowania ich dla siebie a przede wszystkim moga z nich wyczytac pare interesujacych danych na temat naszych finansow i nas samych. Pouczajace, na pewno bede ostrozniej korzystal z apek bankow.

Aby ocenić zaloguj się lub zarejestrujX