هناك عدد من التطبيقات المصرفية لبعض البنوك الأبرز في العالم تحتوي على المشاكل التي تعرض المستخدمين لسرقة البيانات والاستحواذ على الحساب .
على وجه التحديد، يمكن لأحد القراصنة المطلعين أن يراقب سلوك المستخدم ،يسيطر على حسابه عبر هجمات التحكم في جلسات العمل، ويسبب مشاكل تلف الذاكرة التي يمكن أن تؤدي إلى تعطل النظام وتسرب البيانات.
وإجمالا، يمكن لهذه الثغرات أن تسمح للقراصنة سرقة بيانات اعتماد المستخدم عن طريق الاحتيال والوصول إلى الحسابات المصرفية عبر الإنترنت.
ارييل سانشيز، باحث ارجنتيني يعمل مع شركة أمن IOActive، قام بسلسلة من الاختبارات على 40 تطبيق من التطبيقات المصرفية عبر الهاتف المحمول من بين أكبر 60 بنك في جميع أنحاء العالم، بما في ذلك تحليلات الأمن للتطبيقات “نقل البيانات، واجهات المستخدم، وعمليات التخزين، وكذلك بعض الاشياء الأكثر تعقيدا مثل نظام العد الثنائي.
وجد سانشيز سلسلة من نقاط الضعف تجعل هذه التطبيقات المصرفية عرضة للاستغلال.
“شخص من ذوي المهارات المناسبة يمكن استخدام هذه المعلومات لكشف الأخطاء المحتملة وبعد بعض البحوث عن عمليات الاستغلال و البرامج الضارة يمكن أن يحذر الجمهور من التطبيقات المصرفية المتضررة”، واضاف سانشيز، “يمكننا القول أنه هو الخطوة الأولى لتهديد أمني محتمل.”
تقول IOActive ذلك ذكرت ونقاط الضعف للبنوك المعنية. حتى الآن، يقول سانشيز، أن أيا من البنوك افادت بترقيع أي من القضايا الأمنية.
وقال سانشيز أن المشكلة الأكثر إثارة للقلق اكتشفها خلال تحليل الشفرة الثابتة لرمز العد الثنائي من كل التطبيق وكان عدد من أوراق اعتماد التنمية مدفون ومختبئ في رمز الثنائيات. وبعبارة أخرى، ومجموعة متنوعة من التطبيقات المصرفية الضعيفة تحتوي على مشاكل خطيرة. وتهدف هذه لإعطاء المطورين الوصول إلى تطوير البنية التحتية والتطبيقات “. للأسف، يمكن لهذه الأوراق الاعتمادية إعطاء القراصنة نفس الفرصة من الوصول لحسابات.
أضاف سانشيز، “ويمكن استخدام هذا الضعف للوصول إلى تطوير البنية التحتية للبنك اصابة التطبيق بالبرمجيات الخبيثة، مما يسبب في إصابة ضخمة لجميع مستخدمي التطبيق” .
جزء من المشكلة هو أن عددا من التطبيقات تقوم بإرسال روابط غير مشفر للمستخدمين وأو تفشل في التحقق من صحة شهادات SSL بشكل صحيح عندما يتم تشفير المعلومات. هذا السلوك، وهو الأمر الذي يعزوه سانشيز لمجرد خطأ غير مقصود على كل من تطوير تطبيقات، ويضع العملاء في خطر حيث يمكن المهاجمين حقن جافا سكريبت الخبيثة أو رمز HTML كجزء من عملية الاحتيال.
وتتفاقم كل القضايا التي كشف عنها سانشيز من حقيقة أن 70 في المئة من البنوك فشلت في تصليح عاملين من عوامل هذه الظاهرة.
” ما عليك سوى الحصول على رمز النظام الثنائي(Binary) من التطبيق ، إضافة إلى أداة واحدة لفك تشفير الرمز و آخر لتفكيك الشفرة ” . وقال “هناك عدد كبير من الأوراق التي تصف كيفية فك تشفير وتفكيك رمز من هذه التطبيقات . أي شخص يمكنه أن يتبع الإرشادات لفعل ذلك بسهوله ” .
IOActive هي اليوم المسؤولة ، والتي هي جيدة وسيئة في أنٍ معاً (ولكن معظمها جيدة ) . على الجانب الجيد ، هي ليست تقوم بتسمية البنوك المتضررة أو نشر الضعف المحدد الذي يمكن أن يعطي القراصنه المعلومات التي يحتاجونها لاستهداف حسابات المستخدمين . على الجانب السيئ ، نحن لا نعرف أي البنوك heya معرضة لهذا الغزو واي التطبيقات ، وبالتالي ، نحن لا نعرف بمن نثق.
من الواضح ، أن الأكثر حذرا بيننا ربما ينبغي أن يقوم بتأجيل استخدام التطبيقات المصرفية عبر الهاتف المحمول حتى يتأكد من هذه القضايا. ومع ذلك ، معظمنا ببساطة لن تفعل ذلك. لذلك ، في هذه الأثناء ، يجب تعيين بالتأكيد اثنين من عوامل التوثيق والمصادقة إذا كان المصرف الخاص بك يقدمها. و عليك أن تحترس من رسائل التصيد ، و إبقاء العين على حسابك المصرفي.