Niemal wszystkie banki oferują dziś własne aplikacje mobilne. Chętnie je reklamują, walcząc o upragnionych młodych klientów. Sami klienci równie chętnie z nich korzystają, bo „bankowe apki” są wygodne i łatwo dostępne. Ale czy są także bezpieczne? Eksperci z PGS Software postanowili to sprawdzić. To, co znaleźli, niemile ich zaskoczyło.
Dzisiaj udostępniamy szczegółowy raport pod tytułem „Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce„, stworzony na podstawie testu, który objął aż 18 produktów największych banków detalicznych. Po zakończeniu badania, wszystkie instytucje zostały powiadomione o wynikach. Zgodnie z zasadami „responsible disclosure”, zapewniliśmy im czas na poprawienie aplikacji. Nie chcieliśmy narażać niewinnych klientów, publikując dane o wciąż istniejących, poważnych słabościach.
Ile ich znaleźliśmy?
Niestety – zbyt wiele, aby zachować spokój ducha przy korzystaniu z „mobile bankingu”.
Opisane w raporcie błędy obejmują m.in. możliwość wykonania zrzutów ekranu, na których znajdowały się wpisane przez użytkownika dane logowania. Oraz aplikację, która po wywołaniu pewnych funkcji otwierała serwis bankowy w przeglądarce telefonu, przekazując zalogowaną sesję za pomocą tekstowego linku. Jego „uprowadzenie” pozwalało – bez dalszej weryfikacji – otworzyć panel zarządzania kontem na dowolnym innym komputerze!
Jeśli to wydaje się sporym niedopatrzeniem, co powiedzieć o aplikacji, która zawiera plik z testowymi nazwami i hasłami do logowania na środowisku produkcyjnym? Albo o ignorowaniu fałszywego certyfikatu bezpieczeństwa, dzięki czemu możliwe było przechwytywanie i modyfikowanie całej komunikacji między klientem a bankiem?
Czasem problemem okazywało się nawet odróżnienie prawdziwych aplikacji od niebezpiecznych podróbek w sklepie Google Play!
Skąd tyle błędów w aplikacjach, które teoretycznie powinny zapewniać szczególne bezpieczeństwo? W niektórych wypadkach zawinili sami programiści (lub podwykonawcy). Czasem wina leżała po stronie kontroli jakości (albo jej braku). Czasem winna była też sama platforma – wielu użytkowników systemu Android korzysta z jego przestarzałych wersji.
Aplikacje bankowe powinny bronić się przed znanymi lukami na poziomie systemu operacyjnego. Niestety, często tego nie robią.
Tomasz Zieliński, Team Leader w PGS Software oraz główny autor raportu, komentuje sprawę następująco: „Można wyobrazić sobie sytuację, w której kradzież środków przy użyciu dziesiątek czy setek tysięcy telefonów spowoduje całkowite porzucenie aplikacji bankowych. Bankom powinno zależeć, aby taki scenariusz pozostał fikcją.”
Nam również na tym zależy, dlatego przekazaliśmy szczegółowe opisy błędów. Przypominamy jednak, że testerzy PGS Software prześlizgnęli się tylko po powierzchni. Nie podejmowali działań, które mogły doprowadzić do złamania prawa. Prawdziwy napastnik nie będzie miał takich skrupułów. I – prawdopodobnie – odkryje nowe słabości, do których nie mieliśmy okazji dotrzeć.
Zresztą bardziej od konkretnych błędów niepokoją nas dwa fakty. Pierwszy jest taki, że większość instytucji nie miała procedur, pozwalających na poufne zgłaszanie błędów. Zabrakło odpowiednich wskazówek na stronach WWW, wytycznych dla Biur Obsługi Klienta oraz bezpiecznego szyfrowania PGP, dzięki któremu wrażliwe informacje mógłby odczytać tylko wskazany, upoważniony pracownik banku (a nie pracownicy zewnętrznego call center).
Niepokojąca jest też trywialność błędów. Oznacza ona, że aplikacje nie zostały poddane audytowi bezpieczeństwa. Trudno liczyć, że zawsze znajdą się życzliwi, którzy z dobroci serca wskażą podatności twórcom oprogramowania. Wiele zachodnich instytucji oferuje programy typu „bug bounty” – zachęcają niezależnych poszukiwaczy do badania systemów, a potem nagradzają ich zgłoszenia. W Polsce podobnej inicjatywy nie podjął ani jeden z przebadanych banków!
Czy klienci powinni się zatem wystrzegać bankowych aplikacji mobilnych? Raczej nie – powoli stają się lepsze, a korzystanie z internetowego kanału dostępu również wiąże się z pewnym ryzykiem.
Najważniejsze, by mobilizować banki do stałego ulepszania swoich produktów i pilnować, by do ich tworzenia oraz oceny zatrudniały odpowiednio wykwalifikowane zespoły. Nigdy nie wiadomo, kto – nawet w tej chwili – może szukać ukrytych furtek i błędów w systemach, którym powierzamy swoje pieniądze
PGS Software