0
0
92% dos aplicativos bancários e de serviços financeiros mais populares contêm segredos e vulnerabilidades fáceis de extrair que podem permitir que invasores roubem dados e finanças do consumidor, de acordo com Approov.
O Approov Mobile Threat Lab baixou, decodificou e escaneou os 200 principais aplicativos de serviços financeiros nos EUA, Reino Unido, França e Alemanha da Google Play Store , investigando um total de 650 aplicativos exclusivos.
92% dos aplicativos vazaram segredos valiosos e exploráveis e 23% dos aplicativos vazaram segredos extremamente confidenciais.
Vulnerabilidades de aplicativos de serviços financeiros
Além de expor segredos imediatamente, as varreduras também indicaram duas superfícies críticas de ataque em tempo de execução que poderiam ser usadas para roubar chaves de API em tempo de execução. Apenas 5% dos aplicativos tinham boas defesas contra ataques em tempo de execução manipulando o ambiente do dispositivo e apenas 4% estavam bem protegidos contra ataques Man-in-the-Middle (MitM) em tempo de execução.
“Todos nós, sem saber, nos tornamos beta-testers para aplicativos de serviços financeiros? Isso está colocando nossas finanças pessoais em risco? As notícias contínuas sobre violações parecem indicar que esse é o caso e é inaceitável!” disse o CEO da Approov, Ted Miracco .
“Esta pesquisa mostra que codificar dados confidenciais em aplicativos móveis é generalizado e um grande problema, pois os segredos podem ser facilmente extraídos. Uma verificação automatizada simples pode mostrar a qualquer agente de ameaça como os aplicativos estão bem protegidos em tempo de execução. Infelizmente, os aplicativos financeiros ficam aquém”, acrescentou Miracco.
Aplicativos criptográficos têm maior probabilidade de vazar segredos confidenciais
- Nenhum dos 650 aplicativos “preencheu todos os requisitos” em relação às três superfícies de ataque investigadas. Todos falharam em pelo menos uma categoria.
- Apenas quatro aplicativos tinham proteção de tempo de execução contra ataques MitM de canal e “man-in-the-device”. Todos eram aplicativos de pagamento e transferência e nenhum estava nos EUA
- Em geral, os aplicativos implantados na Europa eram mais protegidos do que os aplicativos disponíveis apenas nos EUA, para exposição secreta imediata e proteções de tempo de execução. Isso pode ser devido a regras de privacidade mais rígidas na Europa e mais foco na segurança.
- Os aplicativos criptográficos eram mais propensos a vazar segredos confidenciais, pois 36% ofereciam imediatamente segredos altamente confidenciais quando verificados.
- Apenas 18% dos aplicativos de finanças pessoais vazaram informações confidenciais, possivelmente porque são menos dependentes de APIs confidenciais.
- Para ataques Man-in-the-Device, os bancos tradicionais têm duas vezes mais chances de serem bem protegidos do que outros setores, refletindo o uso de empacotadores e protetores para proteção contra manipulação em tempo de execução.
FONTE: HELPNET SECURITY