Uwaga - aplikacje bankowe mają niebezpieczne błędy

Specjaliści z PGS Software przyjrzeli się dokładnie aplikacjom mobilnym oferowanym przez banki w Polsce. Jak się okazało, ich zabezpieczenia pozostawiają sporo do życzenia, narażając użytkowników na kradzież pieniędzy z ich kont.

Dziur i błędów w aplikacjach najpopularniejszych banków w Polsce znaleziono naprawdę sporo – a przyglądano się im, jak przyznają sami twórcy raportu, dość pobieżnie. Informacje o odkryciach zostały przekazane bezpośrednio do instytucji jeszcze przed opublikowaniem raportu, tak by banki miały czas na załatanie odnalezionych podatności na atak.

Pod lupę wzięto łącznie 18 aplikacji bankowych - przyjrzano się programom oferowanym przez:

  • PKO Bank Polski (pl.pkobp.iko)
  • Pekao SA (eu.eleader.mobilebanking.pekao)
  • Bank Zachodni WBK (pl.bzwbk.bzwbk24)
  • mBank (pl.mbank)
  • ING Bank Śląski (pl.ing.ingmobile oraz pl.ing.mojeing)
  • Getin Noble Bank (com.getingroup.mobilebanking)
  • Bank Millennium (wit.android.bcpBankingApp.millenniumPL)
  • Raiffeisen Polbank (eu.eleader.mobilebanking.raiffeisen)
  • Citi Handlowy (com.konylabs.cbplpat)
  • BGŻ BNP Paribas (com.comarch.mobile.banking.bnpparibas)
  • BPH (pl.bph)
  • Alior Bank (com.comarch.mobile)
  • IdeaBank (pl.ideabank.mobilebanking)
  • Eurobank (pl.eurobank)
  • Credit Agricole (com.finanteq.finance.ca)
  • T-Mobile Usługi Bankowe (alior.bankingapp.android)
  • Orange Finanse (com.orangefinanse)
  • Bank SMART (pl.fmbank.smart)

Jakie największe błędy i niedopatrzenia odkryto w aplikacjach mobilnych banków? Autorzy raportu wskazują, że możliwe było na przykład przechwycenie danych logowania dzięki robieniu zrzutów ekranu podczas ich wpisywania – może to robić potajemnie złośliwe oprogramowanie.

Innym przykładem złych praktyk jest przekierowywanie z aplikacji do internetowego serwisu transakcyjnego banku przy jednoczesnym logowaniu użytkownika – przy czym dane przekazywane były za pomocą linku, którego przechwycenie umożliwiało otworzenie panelu na dowolnym innym urządzeniu i wykonywaniu operacji w imieniu danego użytkownika.

Część odnalezionych błędów to typowo ludzkie niedopatrzenia – na przykład razem z jedną z aplikacji rozpowszechniany był plik tekstowy z danymi logowania na konta testowe. Inny program nie wykrywał podmiany certyfikatu bezpieczeństwa, dzięki czemu możliwe było przechwycenie i modyfikowanie komunikacji użytkownika z bankiem – czyli na przykład zmiana kwoty i numeru rachunku, na który miał być wykonany przelew.

Autorzy raportu przygotowali omówienie błędów znalezionych w niektórych aplikacjach:

Pełny raport z badania aplikacji mobilnych 18 działających w Polsce banków można znaleźć pod tym adresem.