Эксперты ЦАРКА провели анализ мобильных приложений 11 ведущих банков Казахстана по 20 направлениям в 4 категориях на предмет обеспечения безопасности персональных данных. Экспертами выявлены уязвимости в банковских приложениях, часть из которых можно отметить, как высококритичные, требующие немедленного исправления.
К примеру, как отмечают в центре, больше половины исследуемых приложений хранит чувствительную информацию в приватном файле внутри директории приложения. В ЦАРКА пояснили, что очень часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется. Однако, для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей. Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает очень критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денежных средств клиента.
«В этом году мы немного сдвинули выход отчета, предваряя возможность обсудить эти уязвимости на наших панельных дискуссиях KazHackStan. С другой стороны, у банков было больше возможности исправить текущие недочеты, но мы видим, что в ряде случаев проблемы остаются, и это, к сожалению, традиционная история для РК. Внедрение на государственном уровне требований к подключению в платформу легального поиска уязвимостей (Bug Bounty) дало толчок роста к регулярным исследованиям безопасности. Однако, впереди большая работа не только в рамках практической безопасности, но в и контексте смены парадигмы мышления, прекращения «невыноса» сора, то есть информации об утечках и уязвимостях, из периметра организации», - сказал генеральный директор и основатель Tsarka Group Олжас Сатиев.
