16 Lis

2016

Audyt bezpieczeństwa aplikacji bankowych



Wśród ofert banków online standardem stała się własna aplikacja mobilna. Firma PGS Software przeprowadziła ciekawe badanie stanu bezpieczeństwa tych aplikacji. Test objął 18 produktów największych banków detalicznych: PKO BP, Pekao SA, Bank Zachodni WBK, mBank, ING Bank Śląski, Getin Noble Bank, Bank Millenium, Citi Handlowy, Idea Bank, Alior Bank, BGŻ, Eurobank, Credit Agricole, T-Mobile, Orange Finance, Bank Smart. Jak się okazało, jakość i bezpieczeństwo przebadanych aplikacji pozostawiają bardzo wiele do życzenia.

Testerom udało się m.in. doprowadzić do przejęcia sesji zalogowanego użytkownika, wycieku danych osobowych i przejęcia fragmentu maskowanego hasła dostępu. Sporo informacji dało się wyciągnąć z logów systemowych np. identyfikatory logowania, tokeny sesji itp. Odkryciem nr 1 okazała się jednak lista testowych loginów i haseł zaszyta w kodzie, z których część działała w ostatecznej wersji aplikacji! 

Przy okazji wyszło na jaw, że banki nie są w ogóle przygotowane na możliwość zgłaszania zagrożeń bezpieczeństwa. Po szczegóły odsyłamy do pełnego raportu.