Falhas de segurança em aplicativos bancários expõem dados e código-fonte

Vulnerabilidades de segurança nos aplicativos móveis de 30 provedores de serviços financeiros estão colocando as instituições e seus clientes em risco.

Código-fonte exposto, dados confidenciais, acesso a serviços de back-end por meio de APIs que foram descobertos depois que um pesquisador baixou vários aplicativos financeiros do Android da Google Play Store e descobriu que demorava, em média, apenas oito minutos e meio antes de ler o código.

Vulnerabilidades, incluindo falta de proteções binárias, armazenamento de dados inseguro, vazamento de dados não intencional, criptografia fraca e muito mais foram encontradas em aplicativos bancários, de cartão de crédito e de pagamentos móveis e são detalhados por Arxan, uma empresa de segurança cibernética:   In The Plain Sight: The Vulnerability Epidemic in Financial Aplicativos para celular .

“Há claramente uma questão sistêmica aqui – não é apenas uma empresa, são 30 empresas e está em várias verticais de serviços financeiros”, disse Alissa Knight, analista de segurança cibernética da empresa global de pesquisa e consultoria Aite Group eo pesquisador responsável pelo estudo à ZDNet.

A grande maioria – 97% dos aplicativos testados não tinham proteção de código binário, tornando possível fazer engenharia reversa ou descompilar os aplicativos, expondo o código-fonte à análise e adulteração. E 90% dos aplicativos testados sofreram vazamento de dados não intencional, expondo dados do aplicativo financeiro a outros aplicativos no dispositivo, enquanto 80% dos aplicativos testados implementaram criptografia fraca, potencialmente permitindo que os invasores descriptografassem dados confidenciais.

Mas uma fraqueza encontrada em 83% dos aplicativos testados poderia oferecer um presente aos invasores cibernéticos: esses aplicativos armazenavam dados de forma insegura, às vezes no sistema de arquivos local do dispositivo, e Knight descobriu que era possível extrair o que deveria ser oculto. chaves.

“As chaves de API são basicamente aquela senha privada que você não quer que ninguém saiba. O que foi uma descoberta sistêmica em vários aplicativos móveis de serviços financeiros foi que essas chaves de API privadas estavam sendo encontradas no código”, disse ela.

“É quase como se os desenvolvedores que escreveram o código não percebessem que é possível navegar na estrutura de diretórios deste aplicativo móvel e extrair esses arquivos, retirar as chaves dos subdiretórios”.

Se um invasor puder se apossar dessas “joias”, será possível que elas reutilizem as APIs para fins mal-intencionados.

“Se eu tiver acesso ao código-fonte do aplicativo, posso modificar as URLs e alterar o comportamento do aplicativo e para onde ele envia os dados”, disse Knight.

A empresa não identificou nenhum dos aplicativos para não adicionar risco adicional, mas disse que esses ataques não são teóricos.

“Vimos muita coisa acontecendo na Europa Oriental no ano passado, com esse reempacotamento e distribuição de aplicativos. Eles estavam indo para um banco legítimo, mas também exfiltrando todos os dados ao mesmo tempo”, disse Rusty Carter, vice-presidente de gerenciamento de produtos da empresa.

“Claramente há um problema aqui. Você precisa saber que os adversários estão começando a atacar essa área. Essa é a nova fronteira, essa é uma nova área de foco para os adversários e este relatório pretende levar as empresas de serviços financeiros a ver o quão grande um problema que eles têm aqui e como eles podem lidar com isso “, disse ela.