آریل سانچز، مشاور امنیتی شرکت IOActive، تشریح کرد که چگونه برنامه های
کاربردی بانکداری با سرورها ارتباط برقرا می کنند، چگونه داده ها را به
صورت محلی ذخیره می کنند و هم چنین چه اطلاعاتی از طریق لاگ ها افشاء می
شوند و چه آسیب پذیری هایی در کد این برنامه ها وجود دارد.
محققان
دریافتند که تمامی برنامه های آزمایش شده می توانند بر روی دستگاه های
jailbroken نصب و اجرا شوند. این کار به تنهایی یک مخاطره امنیتی به حساب
می آید زیرا jailbreaking حفاظت های امنیتی iOS را از بین می برد و به
برنامه هایی که برروی دستگاه نصب هستند اجازه می دهد تا به منابع محدود شده
سایر برنامه ها دسترسی یابد. در دستگاه هایی که jailbroken نشده اند این
دسترسی وجود ندارد.
سانچز دریافت در حالی که برنامه های کاربردی
بانکداری عموما برای ارتباطات حساس از رمزگذاری SSL استفاده می کنند، 90
درصد از برنامه هایی که مورد آزمایش قرار گرفتند در حین اجرا می توانند
چندین ارتباط ناامن برقرار کنند. این مساله به مهاجمانی که ترافیک شبکه را رهگیری می کنند اجازه می دهد تا کدهای دلخواه جاوا اسکریپت یا HTML را تزریق کنند. به عنوان مثال مهاجمان می توانند با استفاده از این روش صفحه ورودی جعلی را به کاربر بر نامه نشان دهند یا سایر حملات مهندسی اجتماعی را پیاده سازی نمایند.
علاوه بر این، 40 درصد از برنامه ها اعتبار گواهینامه های دیجیتالی را که از سرور دریافت کردند، ارزیابی نمی کنند و این مساله برنامه ها را در برابر حملات man-in-the-middle آسیب پذیر می کند.
با توجه به یافته های محققان، سانچز توصیه های زیر را به تولیدکنندگان برنامه های کاربردی بانکداری پیشنهاد می دهد.
اطمینان حاصل شود که تمامی ارتباطاتی که ایجاد می شود از پروتکل های ارتباطی امن استفاده می کند
اجرای اعتبارسنجی گواهینامه های SSL
رمزگذاری داده های حساسی که توسط برنامه های کاربردی ذخیره می شوند
بهبود تشخیص jailbreaking
حذف اظهارات و اطلاعات اشکال زدایی و حذف تمامی اطلاعات توسعه برناه از روی محصولات نهایی