Czy aplikacje mobilne polskich banków są bezpieczne?

Raport firmy PGS Software z testu aplikacji mobilnych największych banków detalicznych zaprezentowany na konferencji Security PWNing nie nastraja zbyt optymistycznie. Liczba znalezionych nieprawidłowości i błędów jest stosunkowo duża. Spokoju nie daje również słaba reakcja samych banków na przedstawione w raporcie problemy.

Specjaliści z PGS Software poddali testom 18 aplikacji mobilnych polskich banków detalicznych, wśród których znalazły się między innymi PKO BP, Pekao SA, Bank Zachodni WBK, mBank, ING Bank Śląski, Getin Noble Bank, Bank Millenium, Idea Bank oraz Alior Bank. Po zakończeniu badania wszystkie instytucje zostały poinformowane o wynikach i zapewniono im czas na poprawienie wykrytych błędów w aplikacjach, jeszcze przed publikacją raportu.

Sporo błędów i furtek do wykorzystania

Niektóre nieprawidłowości napotkane w trakcie testów okazały się zdumiewająco banalne do wykorzystania. W jednej z aplikacji można było wykonać zrzut ekranowy z wpisanymi przez użytkownika danymi logowania. W innej po wywołaniu odpowiedniej funkcji telefon otwierał okno przeglądarki internetowej już bez dodatkowej warstwy zabezpieczeń. Jeśli taki adres zostałby 'przechwycony' umożliwiałby cyberprzestępcy wejście do panelu zarządzania kontem z dowolnego komputera.

Jeszcze bardziej przerażająco wygląda sytuacja, w której aplikacja mobilna banku zawiera plik z kontami testowymi i hasłami do logowania, czyli pozostałość po etapie wdrażania do środowiska produkcyjnego. Zarejestrowano również przypadek ignorowania certyfikatu bezpieczeństwa, co może zaowocować możliwością przechwycenia i zmodyfikowania praktycznie całej komunikacji między bankiem i klientem.

Raport PGS Software Raport PGS Software "Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce" źródło: PGS Software

Jak tłumaczą autorzy raportu, winnych takiego stanu rzeczy należy szukać w kilku miejscach, zarówno wśród programistów lub podwykonawców odpowiedzialnych za projektowanie aplikacji, jak i przy kontroli jakości. Sytuacji nie ułatwia również spora fragmentacja Androida i fakt, że wielu użytkowników smartfonów pracujących w oparciu o system Google korzysta z jego przestarzałych wersji.

Braki w procedurach zgłaszania błędów i słaba reakcja banków

Poza samymi błędami w aplikacjach niepokój specjalistów budzi również brak bezpiecznych procedur zgłaszania błędów i dość słaba reakcja banków na zgłoszone przez autorów raportu nieprawidłowości. Największe zastrzeżenia mogą budzić przypadki, w których testerzy byli proszeni o przekazywanie potencjalnie niebezpiecznych informacji szeregowym pracownikom zewnętrznych call center. Te dane miały następnie trafić do ogólnodostępnego formularza reklamacyjnego. Ponadto na stronach banków często brakuje wyraźnych wskazówek jak należy zgłaszać takie błędy.

Jak podkreśla Niebezpiecznik.pl, na zgłoszenia nieprawidłowości odpowiedziała mniej niż połowa banków, których aplikacje mobilne brały udział w teście PGS Software. W dodatku niewielki ułamek z nich podczas korespondencji z autorami raportu używał sugerowanego przez specjalistów mechanizmu szyfrowania treści.

Mamy powody do obaw?

Zdaniem zarówno Niebezpiecznika, jak PGS Software, póki co nie ma powodów do paniki. Poza pojedynczymi incydentami wykryte błędy w aplikacjach mobilnych polskich banków detalicznych nie stanowią większego zagrożenia dla klientów. Oczywiście same instytucje mają jeszcze sporo do poprawienia.

Jak mówi Tomasz Zieliński, Team Leader w PGS Software oraz główny autor raportu:

Przyszłość mobilnej bankowości nie została jeszcze określona. Na razie wygrywa wygoda dostępu do rachunku i płatności bezgotówkowych (jak BLIK czy wirtualizowane karty płatnicze). Można jednak wyobrazić sobie sytuację, w której kradzież środków przy użyciu dziesiątek czy setek tysięcy telefonów spowoduje całkowite porzucenie aplikacji bankowych. Bankom powinno zależeć, aby taki scenariusz pozostał fikcją.

Pełna wersja raportu PGS Software: Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce (plik PDF)

Więcej o: