Мобильные банковские приложения – удобная альтернатива посещениям отделений банков
Но их безопасность часто находится под вопросомЭксперты центра информационной безопасности «Инфосистемы джет» исследовали уязвимости 58 мобильных приложений российских банков, и только в одном из них не нашли никаких уязвимостей. Более чем в половине из них (в 23 случаях) обнаружились критичные уязвимости. Уязвимости есть в 98% приложений для операционной системы Android и в 70% приложений для iOS, 13% приложений передают данные по незащищенным каналам связи, выяснили эксперты.
Клиенты предпочитают мобильность
17 млн столько человек в России, по данным агентства Markswebb Rank & Report на октябрь 2014 г., пользовались услугами мобильного банка. Год назад таких клиентов было 10,8 млн человек. Наибольшая доля пользователей мобильного банкинга среди всех клиентов, пользующихся интернетом, у Сбербанка - 46%. За ним следует «Связной банк» с 37% клиентов. У большинства банков доля пользователей мобильного банка колеблется от 10 до 20%
Лакомый кусок
Киберпреступники не могли упустить такие возможности. По данным Group-IB, занимающейся расследованием компьютерных преступлений, если в 2013 г. в России из-за компрометации мобильных устройств произошло 317 000 хищений, то в 2014 г. количество таких случаев почти утроилось до 942 000. Помимо того что в 2014 г. выросло общее число смартфонов, в 2013 г. кибермошенники еще только присматривались к этому направлению, объясняет эксперт Group-IB Сергей Никитин. Взлом приложений - это по большей части ручная работа, знают эксперты Group-IB. Но в заражение новых устройств инвестировались большие деньги и в 2013 г. появилось пять новых крупных преступных групп, рассказывает Никитин. В cреднем c мобильных устройств похищается около 15 000 руб., говорит он, т. е. за 2014 г. общая сумма хищений составила около 15 млрд руб.
За 2014 г. «Лаборатория Касперского» обнаружила 12 100 мобильных банковских вирусов, что в 9 раз больше, чем в 2013 г., говорит антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. По его словам, более 45 000 пользователей «Лаборатории» хотя бы раз в течение года подверглись попыткам атак с использованием мобильных банковских троянцев.
Ущерб от простейшего sms-вируса составляет в среднем 1000 руб., или около 30 руб. в сутки, если злоумышленники хотят долго обкрадывать жертву, говорит Чебышев. Но если злоумышленники смогли выкрасть номер кредитной карты или учетные данные клиента в системе банкинга, ущерб может быть больше, говорит он. Один из крупнейших банков России ограничивал сумму перевода 15 000 руб. и мошенники снимали именно эту сумму, знает Чебышев.
Безопасность пока не главное...
Банки еще не считают безопасность своих приложений их конкурентным преимуществом (таковыми они называют удобство и скорость), но они вынуждены начинать уделять ей внимание, говорит гендиректор компании Digital Security, занимающейся анализом защищенности компьютерных систем, Илья Медведовский. Для компаний, которые банки нанимают для разработки приложений, безопасность тоже не самое главное и причин тому несколько, уверен он.
Во-первых, строгое выполнение требований безопасности при создании приложения довольно дорого обходится самой компании-разработчику, говорит Медведовский. Безопасность увеличивает время подготовки продукта из-за нескольких циклов тестирования, доработки и устранения неисправностей, объясняет он.
Сначала банк формулирует разработчику бизнес-требования - как должен работать продукт, рассказывает директор центра информационной безопасности компании «Инфосистемы джет» Игорь Ляпунов. Потом банк уточняет, как нужно выполнять бизнес-требования. Наконец, требования к самому софту. Чтобы учитывать требования по безопасности, эта схема должна быть цикличной, чтобы служба безопасности на любом этапе могла отправить проект на доработку, говорит Ляпунов.
Но для разработчика затраты на безопасность не окупаются, поскольку приложение и без нее умеет делать все, что запросил заказчик, уверяет Медведовский. По его словам, заказчик остается доволен приложением только потому, что оно выполняет весь набор специфичных платежных функций, который он запросил у разработчика. И это вторая проблема - заказчик не формулирует четких требований по безопасности, когда нанимает разработчика, а если и формулирует, то не способен самостоятельно проверить правильность технического исполнения, сокрушается Медведовский.
Но разработчик не несет ответственности за недоработки в безопасности - он всего лишь устраняет их по просьбе заказчика, когда у того возникают проблемы, продолжает Медведовский. При этом банк и разработчик связаны долгосрочным контрактом и заменять разработчика крайне проблематично и бессмысленно, говорит он. Стандартная задача Digital Security - поиск уязвимостей в софте по заказу самого банка. «Если бы разработчики добросовестно относились к безопасности, работы у нашей компании было бы намного меньше», - говорит Медведовский.
Ляпунов приводит как пример sms от банка для подтверждения платежа, которые так или иначе хранятся в памяти телефона. Эти коды должны либо шифроваться, либо не храниться вовсе, объясняет Ляпунов. Если приложение на телефоне хранит их неправильно, то другая программа может легко получить эти коды и вместе с ними - контроль над платежами. Из проанализированных «Инфосистемами джет» мобильных банк-клиентов только один был написан правильно и ничего не хранил в памяти, рассказывает Ляпунов.
Самый первый шаг проверки безопасности - это статический анализ кода, когда проверяется, насколько безопасно и аккуратно написана программа, объясняет Ляпунов. Остальное отлавливается на этапе динамического анализа, когда исследуется работа уже запущенной программы, например насколько аккуратно она обращается с памятью, объясняет Ляпунов. После прохождения этих тестов и исправления ошибок программой можно пользоваться при условии, что банк отслеживает все попытки злоумышленников ее взломать или даже просто прощупать периметр, что часто делается перед атакой, уверен он.
...но про нее не забывают
Среди опрошенных «Ведомостями» банков только Рокетбанк признал, что терял деньги из-за атаки на банк-клиент. Но клиенты из-за этого не пострадали, уверяет сооснователь банка Олег Козырев. Он смог вспомнить только один инцидент, и банк с ним вовремя справился. Безопасность жизненно важна для Рокетбанка, поскольку он работает только через смартфоны.
Вице-президент «Тинькофф банка» Вячеслав Цыганов напоминает о DDoS-атаке, случившейся весной 2014 г., которая вызвала перебои в работе сервисов. Банк нашел организатора атаки, уверяет он.
«Тинькофф банк» редко привлекает внешних подрядчиков для разработки сервисов дистанционного обслуживания, поскольку этим занимается внутренняя команда, говорит Цыганов. Поскольку банк обслуживает клиентов только через дистанционные каналы, было решено растить собственных разработчиков вместо найма внешних - те часто работают над несколькими проектами одновременно и не так хорошо разбираются в тонкостях продукта, как собственные программисты, объясняет он. Собственную команду разработчиков Цыганов называет одной из самых больших на рынке, но количество сотрудников не раскрывает.
Но полностью от внешних подрядчиков «Тинькофф банк» не отказался - по словам Цыганова, их привлекают на разработку небольших сервисов по заранее подготовленному техзаданию. Работы принимаются после анализа кода и полноценного тестирования, уверяет он. Кроме того, банк пользуется специальными средствами поиска уязвимостей, когда выпускает обновления.
«ВТБ 24» тоже регулярно анализирует приложения на уязвимости, говорит начальник управления дистанционного обслуживания банка Елена Дегтева. Если служба безопасности находит уязвимости в приложениях, то они исправляются в первую очередь, поясняет она.
Регулярно проверяет код приложений на безопасность и Райффайзенбанк, а после каждого серьезного обновления проводит тест на проникновение (специальная проверка, нацеленная на поиск слабых мест и проникновение в систему), сообщила начальник отдела альтернативных продаж банка Наталья Масарская. По ее словам, Райффайзенбанк давно сотрудничает с одними и теми же партнерами, разрабатывающими для него мобильные приложения, и контролирует их не только собственными силами, но и с помощью независимых экспертов. Она признает, что дистанционное обслуживание рискованно и для клиента, и для банка, но если клиент соблюдает рекомендации безопасности, то вероятность инцидентов минимальна.
Дело не в качестве программистов - они, как правило, вполне обычные, - а в контроле над их работой, уверен Медведовский из Digital Security. Чтобы дать банкам хороший инструмент контроля, Центробанк описал требования к жизненному циклу разработки софта - как его тестировать, чтобы избегать ошибок еще на стадии проектирования. По словам Медведовского, выходящее в марте новое постановление Центробанка говорит о необходимости внешнего контроля.
Россия не так сильно отстает от европейских банков, у которых схожие проблемы, говорит Ляпунов. Хотя мобильная разработка намного моложе веб-разработки, сейчас мобильный банкинг в России находится примерно в том же состоянии, что и интернет-банкинг несколько лет назад. Причиной прогресса отрасли Ляпунов называет кибервзломщиков: они начали искать и находить уязвимости, чтобы добраться до денег, появившихся в мобильных приложениях. С ним соглашается Медведовский - те продукты, которые взламывали чаще других, обычно надежнее тех, которые никто не пытался взломать, говорит он.