Approov’a göre, en popüler bankacılık ve finansal hizmet uygulamalarının %92’si, saldırganların tüketici verilerini ve finans kaynaklarını çalmasına olanak verebilecek, çıkarılması kolay sırlar ve güvenlik açıkları içeriyor.
Approov Mobile Threat Lab, Google Play Store’dan ABD, İngiltere, Fransa ve Almanya’daki en iyi 200 finansal hizmet uygulamasını indirdi, kodunu çözdü ve taradı ve toplam 650 benzersiz uygulamayı araştırdı.
Uygulamaların %92’si değerli, kötüye kullanılabilir sırları sızdırdı ve uygulamaların %23’ü son derece hassas sırları sızdırdı.
Finansal hizmetler uygulamaları güvenlik açıkları
Sırları anında açığa çıkarmanın yanı sıra taramalar, çalışma zamanında API anahtarlarını çalmak için kullanılabilecek iki kritik çalışma zamanı saldırı yüzeyini de gösterdi. Uygulamaların yalnızca %5’i cihaz ortamını manipüle eden çalışma zamanı saldırılarına karşı iyi savunmaya sahipti ve yalnızca %4’ü çalışma zamanında Ortadaki Adam (MitM) saldırılarına karşı iyi korunuyordu.
“Hepimiz bilmeden finansal hizmetler uygulamaları için beta testçileri mi olduk? Bu, kişisel finansmanımızı riske atıyor mu? İhlallerle ilgili devam eden haberler, durumun böyle olduğunu ve kabul edilemez olduğunu gösteriyor gibi görünüyor! Approov CEO’su Ted Miracco dedi.
“Bu araştırma, mobil uygulamalardaki gizli verilerin kodlanmasının yaygın olduğunu ve sırlar kolayca çıkarılabildiği için büyük bir sorun olduğunu gösteriyor. Basit bir otomatik tarama, tüm tehdit aktörlerine uygulamaların çalışma zamanında ne kadar iyi korunduğunu gösterebilir. Ne yazık ki finansal uygulamalar yetersiz kalıyor,” diye ekledi Miracco.
Kripto uygulamalarının hassas sırları sızdırma olasılığı daha yüksektir
- Araştırılan üç saldırı yüzeyi açısından 650 uygulamanın hiçbiri “tüm kutuları işaretlemedi”. Hepsi en az bir kategoride başarısız oldu.
- Yalnızca dört uygulama, kanal MitM saldırılarına ve “cihazdaki adam”a karşı çalışma zamanı korumasına sahipti. Hepsi ödeme ve transfer uygulamalarıydı ve hiçbiri ABD’de değildi.
- Genel olarak, Avrupa’da dağıtılan uygulamalar, anında gizli ifşa ve çalışma zamanı korumaları açısından yalnızca ABD’de bulunan uygulamalardan daha iyi korunuyordu. Bunun nedeni, Avrupa’daki daha sıkı gizlilik kuralları ve güvenliğe daha fazla odaklanılması olabilir.
- Kripto uygulamalarının hassas sırları sızdırma olasılığı daha yüksekti çünkü %36’sı tarandığında hemen çok hassas sırlar sunuyordu.
- Kişisel finans uygulamalarının yalnızca %18’i, muhtemelen hassas API’lere daha az bağımlı oldukları için hassas bilgileri sızdırdı.
- Man-in-the-Device saldırıları için, geleneksel bankaların çalışma zamanı manipülasyonuna karşı koruma sağlamak için paketleyicilerin ve koruyucuların kullanımını yansıtan diğer sektörlere göre iki kat daha iyi korunma olasılığı vardır.