Aplikacje bankowości mobilnej w krajach rozwijających się mają słabe zabezpieczenia

Świat rozwijający się coraz częściej korzysta aplikacje do bankowości mobilnej do przenoszenia pieniędzy, ale nowe badania pokazują, że aplikacje te są często słabo zakodowane i stanowią zagrożenie bezpieczeństwa.

Naukowcy z University of Florida przeanalizowali dziesiątki aplikacji używanych do mobilnych systemów pieniężnych, ale szeroko przeanalizowali siedem z nich, które mają miliony użytkowników w Brazylii, Indiach, Indonezji, Tajlandii i na Filipinach.

Problemy, które znaleźli, to duża powierzchnia ataku, w tym problemy z SSL / TLS, spaprana kryptografia, wyciek informacji oraz możliwości manipulowania transakcjami i modyfikowania dokumentacji finansowej.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Wpływ problemów jest nieznany, ale "możliwe jest, że te aplikacje są już wykorzystywane w środowisku naturalnym, pozostawiając konsumentów bez możliwości odwoływania się do transakcji finansowych ", zgodnie z ich dokumentem badawczym, który zostanie zaprezentowany w środę podczas 24. Sympozjum USENIX Security w Waszyngtonie, DC

Tak zwane" bezgałęziowe "systemy bankowe korzystające z aplikacji mobilnych zrewolucjonizowały bankowość kraje rozwijające się, gdzie biedni od dawna cierpieli na utrudniony dostęp do tradycyjnych systemów bankowych, napisali.

W niektórych krajach bezgałęziowe aplikacje bankowe są wykorzystywane do 30 procent PKB niektórych państw, polegając na prawie powszechnym wdrażaniu sieci komórkowej i urządzenia mobilne.

Aplikacje mogą pozwolić ludziom wysyłać pieniądze na inne osoby, płacić rachunki, sprawdzać stan konta i kupować kredyty czasu antenowego.

Mimo że wygoda nie ma sobie równych w krajach rozwijających się, praca badawcza pokazuje, że bezpieczeństwo jest często otulina. Problem polega na tym, że warunki świadczenia wielu usług przenoszą odpowiedzialność na klientów, jeśli pojawił się problem, napisali.

"Dostawcy nie mogą zawierać takich wrażliwych systemów z modelem odpowiedzialności, który nie bierze odpowiedzialności za wady techniczne, i te realia mogą zapobiec ciągłemu wzrostowi bankowości bez gałęzi ", napisali.

Jedna aplikacja w Indiach zwana Portfelem Oxigen jest podatna na ataki typu" man-in-the-middle ". Złe uwierzytelnienie i kryptografia mogą umożliwić osobie atakującej złamanie konta Oxigen i przeprowadzenie nieautoryzowanych transakcji.

GCash używany na Filipinach używa statycznego klucza szyfrowania podczas komunikacji ze zdalnym serwerem. PIN użytkownika i identyfikator sesji są szyfrowane kluczem, który jest publiczny, zanim zostanie wysłany.

"Osoba atakująca z tym kluczem może odszyfrować kod PIN i identyfikator sesji użytkownika, jeśli zaszyfrowane dane zostaną przechwycone" - napisali. "To może później dać atakującemu możliwość podszywania się pod użytkownika."

Znaleźli także problemy z Airtel Money i MoneyOnMobile, obydwoma używanymi w Indiach, mPAY z Tajlandii, Zuum z Brazylii i mCoin z Indonezji.

Wszystkie z usługi zostały powiadomione o lukach w zabezpieczeniach przed terminem publikacji dokumentu badawczego, napisali.

"Większość nie wysłała żadnej odpowiedzi na nasze ujawnienia", czytamy w raporcie. "Postanowiliśmy publicznie ujawnić te luki w tym dokumencie z obowiązku informowania użytkowników o zagrożeniach, z jakimi stykają się przy korzystaniu z tych niezabezpieczonych usług."

Praca była współautorem autorstwa Bradley'a Reaves'a, Nolena Scaife, Adama Batesa, Patrick Traynor i Kevin RB Butler.