Пользователи все больше работают со своим банковским счетом через специализированные мобильные приложения для банкинга. Это может закончиться потерей приватных данных и денег, так как 90% подобных утилит имеют проблемы безопасности и ненадежны. Такие данные обнаружил сотрудник лаборатории IO Active Labs Ариэль Санчес в ходе своего недавнего исследования.
Санчес протестировал мобильные клиенты сорока из 60 крупнейших мировых банков. Он обнаружил, что многие из них позволяют различные формы фишинга. Например, пользователь может получить фальшивое письмо от злоумышленников, которое выглядит так же, как и настоящее послание от поддержки банка. В нем обычно спрашивается какая-то персональная информация. При этом 70% мобильных банкинг-клиентов не имеют надежного метода определения личности пользователя.
Большинство утилит для банкинга также небрежно обращается с данными пользователя. Их можно легко извлечь из системного журнала. Санчес проверял утилиты на смартфоне Apple, и он добыл эту информацию с помощью утилиты iPhone Configuration Utility. Еще 20% мобильных банковских клиентов отправляют коды аутентификации обычным текстом без шифрования. Это делает переводы денег уязвимыми, так как перехватить этот код достаточно легко. Еще небольшая часть банков не шифрует свои базы данных, где хранится личная информация пользователей.
