Wśród ofert banków online standardem stała się własna aplikacja mobilna. Firma PGS Software przeprowadziła ciekawe badanie stanu bezpieczeństwa tych aplikacji. Test objął 18 produktów największych banków detalicznych: PKO BP, Pekao SA, Bank Zachodni WBK, mBank, ING Bank Śląski, Getin Noble Bank, Bank Millenium, Citi Handlowy, Idea Bank, Alior Bank, BGŻ, Eurobank, Credit Agricole, T-Mobile, Orange Finance, Bank Smart. Jak się okazało, jakość i bezpieczeństwo przebadanych aplikacji pozostawiają bardzo wiele do życzenia.

Testerom udało się m.in. doprowadzić do przejęcia sesji zalogowanego użytkownika, wycieku danych osobowych i przejęcia fragmentu maskowanego hasła dostępu. Sporo informacji dało się wyciągnąć z logów systemowych np. identyfikatory logowania, tokeny sesji itp. Odkryciem nr 1 okazała się jednak lista testowych loginów i haseł zaszyta w kodzie, z których część działała w ostatecznej wersji aplikacji! 

Przy okazji wyszło na jaw, że banki nie są w ogóle przygotowane na możliwość zgłaszania zagrożeń bezpieczeństwa. Po szczegóły odsyłamy do pełnego raportu.