Mobilní komunikace: I banky vystavují klienty nebezpečí



Dokud jde jen o nevinné hry či o veřejné prezentace produktů, nemusíte se bezpečností mobilních aplikací sloužících pro vaši komunikaci s klienty příliš vzrušovat. Jakmile ale jde o důvěrná data nebo přímo o peníze, bezpečnost se dere do popředí. Nebo by se tam alespoň měla drát. Nedávný průzkum ovšem ukázal, že ani ty aplikace, které by měly být nejbezpečnější, bezpečné rozhodně nejsou. Ano, řeč je o aplikacích pro mobilní bankovnictví.


Ariel Sanchez ze společnosti IOActive si dal za cíl ověřit bezpečnost vybraných mobilních aplikací pro mobilní bankovnictví a výsledek svého zkoumání zveřejnil. Nakonec podle svých slov otestoval 40 aplikací, a to od „nejvlivnějších bank světa“. Konkrétnější v tomto ohledu nebyl, nicméně šlo o banky ze všech kontinentů. A přidal informaci, že se jednalo o aplikace pro iOS (tedy iPhone a iPad); lze ale očekávat, že kdyby zvolil některou alternativní platformu, výsledek by nebyl příliš odlišný.

Výsledek jeho testů není povzbudivý. Mimo jiné ukazuje, že nastavené bezpečnostní standardy jsou zjevně nedostatečné a že při jakýchkoli úvahách o nasazení a používání mobilních aplikací je třeba počítat s určitým rizikem, možná větším, než by se na první pohled zdálo. Neznamená to ovšem samozřejmě tyto aplikace zavrhnout – ale být připraven řešit možné problémy.

Rizikové mobilní aplikace

Pojďme ale k Sanchezovým konkrétním výsledkům. Dále zmiňujeme i některé techničtější detaily, vzápětí je ale hned i vysvětlujeme. Je to proto, abychom vám poskytli ucelenější obrázek o tom, že i profesionálové – a lze předpokládat, že aplikace pro mobilní bankovnictví vyvíjejí profesionálové – se mohou dopouštět poměrně závažných chyb. Otázkou je, jak co nejvíce takových chyb odhalit ještě před tím, než způsobí škodu, obzvláště tehdy, když se váš dodavatel (nebo příslušné oddělení vaší firmy) tváří, že je vše v naprostém pořádku.

Co Sanchez při svém testu zjistil? Tak třeba to, že 40 % zkoumaných aplikací neověřuje autentičnost takzvaných SSL certifikátů. Co to znamená? Ve zkratce to, že když se hacker dostane do komunikace mezi klienta a banku, je schopen se právě za banku vydávat. A informace klienta zneužít.

Dokonce 9 z 10 testovaných aplikací pak obsahovalo nezabezpečené odkazy (bez SSL). Ty by podle Sancheze umožnily vložit se útočníkovi do datové výměny mezi klientem a bankou a podstrčit vlastní kód (HTML, JavaScript), díky němuž by se mu pak mohl například zobrazit falešný přihlašovací dialog.

Polovina aplikací pak byla nezabezpečená proti podstrčení kódu v JavaScriptu prostřednictvím implementace takzvaného UIWebView. Riziko? Útočník by podle Sancheze mohl z klientova zařízení odesílat SMS nebo e-maily. Nebo mu podstrčit nový přihlašovací formulář, třeba pod záminkou, že jeho heslo vypršelo. Zadané přihlašovací jméno a heslo by pak mohl zneužít.

Pětina aplikací prý zasílá aktivační údaje nešifrovaně. I když jde o jednorázovou komunikaci, existuje tu riziko odposlechnutí a zneužití k přístupu do uživatelského účtu. Sanchez rovněž upozorňuje, že 70 % aplikací nenabízí jiné zabezpečení než jen heslem. Což už dnes nelze považovat za dostatečně bezpečné.

A pak jsou tu ještě data, která si aplikace ukládají v průběhu své práce, například když z nějakého důvodu selžou. Tato data podle Sanchezova zjištění rovněž často obsahují citlivé informace. A nešifrované citlivé informace si aplikace podle něj nezřídka ukládají i do databázového systému mobilního zařízení.

Jak rizikům předejít?

Jak už bylo naznačeno dříve, riziko nelze nikdy vyloučit zcela. A je tomu tak pochopitelně i u mobilních aplikací. Přesto lze jednoznačně doporučit na testech bezpečnosti aplikací prostřednictvím dnes dostupných nástrojů nebo služeb.

Samotná existence výše zmíněných slabin samozřejmě ještě nemusí znamenat, že je někdo zneužije. Naznačuje jediné: Je třeba svěřit vývoj zásadních aplikací profesionálům s příslušnými zkušenostmi a přesto je třeba brát v úvahu možná rizika. Nic víc a nic méně.

Dodejme, že loňská analýza společnosti HP zjistila bezpečnostní slabiny 9/10 mobilních aplikací, a to u firem z nejrůznějších odvětví. Její závěry jsou velmi podobné těm výše uvedeným. Podrobnosti najdete v tomto článku v našem sesterském magazínu BusinessIT.

(A podrobnou zprávu ze Sanchezova textu najdete zde na blogu IOActive.)


(3. 2. 2014 | redakce2)


Předcházející článek: <<< Top 3: Nejlepší aplikace pro Android – pro telefon nebo tablet <<<
Následující článek: >>> Model rozvoje podnikové mobility (EMDM) >>>

Tento článek je součástí speciálu:

Svět mobilních zařízení: Využijte příležitostí, které nabízejí


Foto: Samsung, koláž OnBusiness.cz

V letošním roce se na celém světě prodá zhruba stejně tabletů jako PC, chytrých telefonů pak ještě několikanásobně více. Mobilním zařízením je předpovídán i do budoucna další růst, prodejům PC, a to stolním i notebookům, naopak pokles. Práce na mobilních zařízeních - i odpovídající komunikace s vašimi klienty, kteří tato zařízení využívají - bude tedy nepochybně i nadále nabývat na významu. A nabídne nové příležitosti, které by bylo škoda nevyužít.


Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Nepřehlédněte nové odborné speciály

Reality v ČR, Zabezpečení dat, Formuláře - podnikání



Články čtenářů

Autobusové nádraží Zličín – kde je c...


Můžete jet soukromě, nebo třeba služebně, každopádně když cestujete z Prahy na západ, jihozápad nebo severozápad, pojedete možná z autobusového nádraží Zličín. Pokud...

Jak vypnout zprávy webů v prohlížeči


Rozmohl se nám tady takový nešvar - lecjaký zpravodajský web teď v prohlížeči stále dokola otravuje s tím, abyste si zapnuli jeho zprávy do prohlížeče. A vy musíte s...

Komentáře čtenářů

Děkujeme
Děkujeme za upozornění, opraveno. To by se stávat nemělo, ale autorovi i při noční korektuře to bohužel ...>>
Přiruční zavazadla Ryanair
Už dříve vznikla u nás diskuse na Facebooku, jaký je rozdíl v politice kabinových zavazadel Wizz Air a R...>>
Děkuji
To byl nepříjemný překlep, opraveno. V obou případech jde o předpověď do roku 2020. Děkujeme za upozorně...>>

©2013-2019 OnBusiness.cz, ISSN 2336-1999 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu OnBusiness.cz a ochrana soukromí | pg(571)