Dokud jde jen o nevinné hry či o veřejné prezentace produktů, nemusíte se bezpečností mobilních aplikací sloužících pro vaši komunikaci s klienty příliš vzrušovat. Jakmile ale jde o důvěrná data nebo přímo o peníze, bezpečnost se dere do popředí. Nebo by se tam alespoň měla drát. Nedávný průzkum ovšem ukázal, že ani ty aplikace, které by měly být nejbezpečnější, bezpečné rozhodně nejsou. Ano, řeč je o aplikacích pro mobilní bankovnictví.
Ariel Sanchez ze společnosti IOActive si dal za cíl ověřit bezpečnost vybraných mobilních aplikací pro mobilní bankovnictví a výsledek svého zkoumání zveřejnil. Nakonec podle svých slov otestoval 40 aplikací, a to od „nejvlivnějších bank světa“. Konkrétnější v tomto ohledu nebyl, nicméně šlo o banky ze všech kontinentů. A přidal informaci, že se jednalo o aplikace pro iOS (tedy iPhone a iPad); lze ale očekávat, že kdyby zvolil některou alternativní platformu, výsledek by nebyl příliš odlišný.
Výsledek jeho testů není povzbudivý. Mimo jiné ukazuje, že nastavené bezpečnostní standardy jsou zjevně nedostatečné a že při jakýchkoli úvahách o nasazení a používání mobilních aplikací je třeba počítat s určitým rizikem, možná větším, než by se na první pohled zdálo. Neznamená to ovšem samozřejmě tyto aplikace zavrhnout – ale být připraven řešit možné problémy.
Pojďme ale k Sanchezovým konkrétním výsledkům. Dále zmiňujeme i některé techničtější detaily, vzápětí je ale hned i vysvětlujeme. Je to proto, abychom vám poskytli ucelenější obrázek o tom, že i profesionálové – a lze předpokládat, že aplikace pro mobilní bankovnictví vyvíjejí profesionálové – se mohou dopouštět poměrně závažných chyb. Otázkou je, jak co nejvíce takových chyb odhalit ještě před tím, než způsobí škodu, obzvláště tehdy, když se váš dodavatel (nebo příslušné oddělení vaší firmy) tváří, že je vše v naprostém pořádku.
Co Sanchez při svém testu zjistil? Tak třeba to, že 40 % zkoumaných aplikací neověřuje autentičnost takzvaných SSL certifikátů. Co to znamená? Ve zkratce to, že když se hacker dostane do komunikace mezi klienta a banku, je schopen se právě za banku vydávat. A informace klienta zneužít.
Dokonce 9 z 10 testovaných aplikací pak obsahovalo nezabezpečené odkazy (bez SSL). Ty by podle Sancheze umožnily vložit se útočníkovi do datové výměny mezi klientem a bankou a podstrčit vlastní kód (HTML, JavaScript), díky němuž by se mu pak mohl například zobrazit falešný přihlašovací dialog.
Polovina aplikací pak byla nezabezpečená proti podstrčení kódu v JavaScriptu prostřednictvím implementace takzvaného UIWebView. Riziko? Útočník by podle Sancheze mohl z klientova zařízení odesílat SMS nebo e-maily. Nebo mu podstrčit nový přihlašovací formulář, třeba pod záminkou, že jeho heslo vypršelo. Zadané přihlašovací jméno a heslo by pak mohl zneužít.
Pětina aplikací prý zasílá aktivační údaje nešifrovaně. I když jde o jednorázovou komunikaci, existuje tu riziko odposlechnutí a zneužití k přístupu do uživatelského účtu. Sanchez rovněž upozorňuje, že 70 % aplikací nenabízí jiné zabezpečení než jen heslem. Což už dnes nelze považovat za dostatečně bezpečné.
A pak jsou tu ještě data, která si aplikace ukládají v průběhu své práce, například když z nějakého důvodu selžou. Tato data podle Sanchezova zjištění rovněž často obsahují citlivé informace. A nešifrované citlivé informace si aplikace podle něj nezřídka ukládají i do databázového systému mobilního zařízení.
Jak už bylo naznačeno dříve, riziko nelze nikdy vyloučit zcela. A je tomu tak pochopitelně i u mobilních aplikací. Přesto lze jednoznačně doporučit na testech bezpečnosti aplikací prostřednictvím dnes dostupných nástrojů nebo služeb.
Samotná existence výše zmíněných slabin samozřejmě ještě nemusí znamenat, že je někdo zneužije. Naznačuje jediné: Je třeba svěřit vývoj zásadních aplikací profesionálům s příslušnými zkušenostmi a přesto je třeba brát v úvahu možná rizika. Nic víc a nic méně.
Dodejme, že loňská analýza společnosti HP zjistila bezpečnostní slabiny 9/10 mobilních aplikací, a to u firem z nejrůznějších odvětví. Její závěry jsou velmi podobné těm výše uvedeným. Podrobnosti najdete v tomto článku v našem sesterském magazínu BusinessIT.
(A podrobnou zprávu ze Sanchezova textu najdete zde na blogu IOActive.)
V letošním roce se na celém světě prodá zhruba stejně tabletů jako PC, chytrých telefonů pak ještě několikanásobně více. Mobilním zařízením je...
