Catégories
Uncategorized

Les applications bancaires mobiles populaires sont pleines de failles de sécurité, et les utilisateurs d’Android sont plus à risque

Une étude des applications bancaires pour iOS et Android a révélé une mauvaise protection du code source, le stockage des données sensibles en texte clair et d’autres failles graves qui facilitent la pénétration des attaquants dans les comptes.

istock-682395888.jpg

Getty Images / iStockphoto

Une étude des applications bancaires pour iOS et Android a conduit les chercheurs à conclure qu ‘ »aucune application testée pour les services bancaires mobiles n’a un niveau de sécurité acceptable ».

Réalisée par le fournisseur de sécurité informatique Positive Technologies, l’étude a testé 14 applications bancaires disponibles sur iOS et Android, et chacune a enregistré plus de 500 000 téléchargements. Malgré la petite taille de l’échantillon, il y a des raisons de prêter attention aux résultats.

Chaque application individuelle contenait des vulnérabilités, et trois d’entre elles sont courantes: manque de courbes, aucune protection contre l’injection et le reconditionnement de code et code contenant des noms de classe et de méthode.

En bref, utilisez l’application mobile de la banque à vos risques et périls.

Heureusement pour les utilisateurs d’iOS, aucun des défauts découverts dans les versions iOS des applications interrogées n’était pire que le risque «moyen»; en comparaison, 29% des applications bancaires Android comportaient des failles à haut risque.

Les vulnérabilités découvertes dans l’étude amènent les utilisateurs individuels et les clients commerciaux directement au détriment, et dans de nombreux cas, l’attaquant n’a même pas besoin d’accéder au côté serveur de l’application bancaire pour faire les dégâts.

Les applications clientes sont celles qui sont installées sur des appareils personnels et elles représentent 46% des problèmes détectés. Parmi ces problèmes, 76% peuvent être exploités sans qu’un attaquant ait un accès physique au périphérique cible, ne nécessitant que l’attaquant pour réussir à simuler la cible ou le forcer à cliquer sur un lien malveillant ou à exécuter un script malveillant.

Parmi les vulnérabilités côté client, trois ont été signalées comme particulièrement répandues: 13 applications sur 14 autorisent un accès non autorisé aux données utilisateur, 13 sur 14 sont vulnérables aux attaques de l’homme du milieu et 11 applications sur 14 autorisent un accès non autorisé à l’application elle-même.

VOIR: Politique de sécurité en matière d’information et de formation (TechRepublic Premium)

Les choses ne vont pas beaucoup mieux du côté serveur, où plus de la moitié des applications contiennent une vulnérabilité à haut risque.

Les principaux problèmes du côté du serveur bancaire mobile se présentent sous la forme d’une authentification insuffisante, de vulnérabilités grossières et d’échecs d’identification des applications, qui peuvent tous être utilisés pour déformer les utilisateurs pour le vol de données et le transfert illégal de fonds.

Que peut-on apprendre de la mauvaise sécurité des services bancaires mobiles

S’il y a un point positif dans l’étude, alors seulement 37% de la vulnérabilité peut être exploitée (au moins du côté client) sans que l’appareil ne tombe en panne ou ne tombe en panne.

Il n’existe aucun moyen fiable de mesurer la rigidité ou l’enracinement des appareils iOS ou Android, mais les estimations se situent autour de moins de 1% des iPhones et d’environ 7,6% des appareils Android, il y a au moins quelques années (les statistiques les plus récentes sont difficiles à trouver).

VOIR: VPN: sélection des fournisseurs et conseils de dépannage (PDF gratuit) (TechRepublic)

Le rapport conclut que ceux qui utilisent des applications bancaires mobiles devraient éviter l’enracinement et les abus, ne jamais installer d’applications provenant de sources non officielles, cliquer sur les clics à partir de liens envoyés par des étrangers et toujours mettre à jour les appareils et les applications.

« Dans 87% des cas, une interaction de l’utilisateur est nécessaire pour exploiter la vulnérabilité », indique le rapport.

«Nous exigeons que les banques fassent un meilleur travail en mettant l’accent sur la sécurité des applications lors de la conception et du développement. Le code source est plein de problèmes, ce qui est crucial pour réviser les approches de développement utilisant SSDL. [Secure software development lifecycle] et assurer la sécurité à toutes les étapes du cycle de vie des applications « , a déclaré Olga Zinenko, analyste de Positive Technologies.

Cette leçon s’applique à toute entreprise disposant d’une application qui sert des données sensibles: développez en toute sécurité dès le départ, examinez l’ancien code pour vous assurer qu’il n’est pas vulnérable et testez soigneusement les applications avant de les publier.

Voir également