Quão seguro é dar detalhes bancários a qualquer aplicativo Android?

As instituições bancárias têm um bom controle sobre as coisas que precisam corrigir e novas camadas de controle que precisam adotar para manter os usuários seguros?

Para responder a essas perguntas, Accenture e NowSecure realizaram avaliações de vulnerabilidade de aplicações bancárias móveis voltadas para o cliente de 15 instituições bancárias no mercado norte-americano.

Eles testaram as versões de aplicativos iOS e Android de cada um desses bancos, e descobriram que cada aplicativo testado tinha pelo menos um problema de segurança.

"Dos 465 testes realizados para aplicativos bancários rodando no Android, 44 ou 9% tinham problemas de segurança baixos; 48 ou 10% tinham problemas de segurança médios; e 10 ou 2% tinham problemas de segurança de alto nível. Para aplicativos bancários rodando no iOS, um total de 315 testes indicou 24 ou 8% de problemas de segurança de baixo nível; 13 ou 4% com problemas de nível médio; e nenhum com problemas de alto nível", eles observaram.

riscos de segurança

entre os riscos de segurança identificados estavam:

>ul>Arquivos escrevíveis no mundo (ou seja, outros aplicativos podem ter acesso de escrita aos arquivos)li>Verificação SSL quebrada / dados sensíveis em trânsito (ou seja, comunicações não criptografadas). Curiosamente, nenhuma das aplicações iOS testadas tinha este problema>li>Executáveis graváveis - uma falha que pode ser combinada com outros problemas e levar a vulnerabilidades adicionais da aplicação, incluindo as de execução de código remoto. Falta de ofuscação do código fonte da aplicação, permitindo a fácil inversão...engenharia (cerca de 60% das aplicações bancárias Android testadas são culpadas disso)>li>Weak SecureRandom implementationli>li>Dynamic code loading>li>Inappropriately set "HttpOnly" flag (to prevent XSS attacks)li>Inappropriately set Bandeira "Secure" (para evitar o envio de cookies por canais inseguros)li>TLS tráfego com dados sensíveis (80% dos aplicativos bancários iOS testados tinham valores sensíveis interceptados enquanto proxying SSL e Transport Layer Security (TLS) app communications (i.e. nome de usuário, senha, coordenadas GPS, etc.)li>li>falta de segurança no transporte da aplicação (60% das aplicações bancárias iOS testadas tinham ATS desativado globalmente, o que permite uma conexão independentemente da configuração HTTP ou HTTPS, conexão a servidores com versões TLS mais baixas e uma conexão usando suítes de cifras que não suportam sigilo de encaminhamento).p>b>Baseados nesta e em outras avaliações históricas de segurança da aplicação, os pesquisadores concluíram que as instituições bancárias têm sido pró-ativas quando se trata de remediação de questões críticas de segurança bem conhecidas, tais como Heartbleed, exposição ao MITM e outras, mas menos em relação aos riscos de segurança acima mencionados.

Muitas das instituições também introduziram a autenticação multi-factor para os bancos online (um bom passo), mas optaram por utilizar a tecnologia SMS para fornecer códigos de autenticação (escolha inerentemente insegura).

P>Riscos de segurança totais identificados na avaliação de vulnerabilidades

Dicas para mitigar os riscos de segurança dos bancos móveis

Os pesquisadores assinalaram a comunicação insegura como o maior risco.

Segurança em torno da transferência de dados através dos canais de comunicação é um desafio para os desenvolvedores, eles observaram, apontando que os desenvolvedores estão colocando muita confiança no comportamento seguro do usuário final e nas comunicações back-end do lado do servidor.

"As equipes de desenvolvimento devem se esforçar para incorporar a segurança dentro do SDLC móvel ponta a ponta (Ciclo de Vida do Desenvolvimento de Sistemas), com governança e supervisão de segurança adequadas suportadas por treinamento e conscientização e testes recorrentes dos desenvolvedores", concluiu.

"As organizações também devem ter uma estratégia para realizar avaliações regulares de vulnerabilidade e/ou configuração, complementadas por testes de penetração, fuzzing de aplicativos e revisões de código fonte, para obter uma compreensão abrangente do ambiente de segurança móvel em toda a pilha de implantação móvel".

As on-www.helpnetsecurity.com