Specjaliści z PGS Software poddali testom 18 aplikacji mobilnych polskich banków detalicznych, wśród których znalazły się między innymi PKO BP, Pekao SA, Bank Zachodni WBK, mBank, ING Bank Śląski, Getin Noble Bank, Bank Millenium, Idea Bank oraz Alior Bank. Po zakończeniu badania wszystkie instytucje zostały poinformowane o wynikach i zapewniono im czas na poprawienie wykrytych błędów w aplikacjach, jeszcze przed publikacją raportu.
Sporo błędów i furtek do wykorzystania
Niektóre nieprawidłowości napotkane w trakcie testów okazały się zdumiewająco banalne do wykorzystania. W jednej z aplikacji można było wykonać zrzut ekranowy z wpisanymi przez użytkownika danymi logowania. W innej po wywołaniu odpowiedniej funkcji telefon otwierał okno przeglądarki internetowej już bez dodatkowej warstwy zabezpieczeń. Jeśli taki adres zostałby 'przechwycony' umożliwiałby cyberprzestępcy wejście do panelu zarządzania kontem z dowolnego komputera.
Jeszcze bardziej przerażająco wygląda sytuacja, w której aplikacja mobilna banku zawiera plik z kontami testowymi i hasłami do logowania, czyli pozostałość po etapie wdrażania do środowiska produkcyjnego. Zarejestrowano również przypadek ignorowania certyfikatu bezpieczeństwa, co może zaowocować możliwością przechwycenia i zmodyfikowania praktycznie całej komunikacji między bankiem i klientem.
Raport PGS Software "Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce" źródło: PGS Software
Jak tłumaczą autorzy raportu, winnych takiego stanu rzeczy należy szukać w kilku miejscach, zarówno wśród programistów lub podwykonawców odpowiedzialnych za projektowanie aplikacji, jak i przy kontroli jakości. Sytuacji nie ułatwia również spora fragmentacja Androida i fakt, że wielu użytkowników smartfonów pracujących w oparciu o system Google korzysta z jego przestarzałych wersji.
Braki w procedurach zgłaszania błędów i słaba reakcja banków
Poza samymi błędami w aplikacjach niepokój specjalistów budzi również brak bezpiecznych procedur zgłaszania błędów i dość słaba reakcja banków na zgłoszone przez autorów raportu nieprawidłowości. Największe zastrzeżenia mogą budzić przypadki, w których testerzy byli proszeni o przekazywanie potencjalnie niebezpiecznych informacji szeregowym pracownikom zewnętrznych call center. Te dane miały następnie trafić do ogólnodostępnego formularza reklamacyjnego. Ponadto na stronach banków często brakuje wyraźnych wskazówek jak należy zgłaszać takie błędy.
Jak podkreśla Niebezpiecznik.pl, na zgłoszenia nieprawidłowości odpowiedziała mniej niż połowa banków, których aplikacje mobilne brały udział w teście PGS Software. W dodatku niewielki ułamek z nich podczas korespondencji z autorami raportu używał sugerowanego przez specjalistów mechanizmu szyfrowania treści.
Mamy powody do obaw?
Zdaniem zarówno Niebezpiecznika, jak PGS Software, póki co nie ma powodów do paniki. Poza pojedynczymi incydentami wykryte błędy w aplikacjach mobilnych polskich banków detalicznych nie stanowią większego zagrożenia dla klientów. Oczywiście same instytucje mają jeszcze sporo do poprawienia.
Jak mówi Tomasz Zieliński, Team Leader w PGS Software oraz główny autor raportu:
Przyszłość mobilnej bankowości nie została jeszcze określona. Na razie wygrywa wygoda dostępu do rachunku i płatności bezgotówkowych (jak BLIK czy wirtualizowane karty płatnicze). Można jednak wyobrazić sobie sytuację, w której kradzież środków przy użyciu dziesiątek czy setek tysięcy telefonów spowoduje całkowite porzucenie aplikacji bankowych. Bankom powinno zależeć, aby taki scenariusz pozostał fikcją.
Pełna wersja raportu PGS Software: Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce (plik PDF)
