TSARKA Group Орталық Азиядағы киберқауіпсіздік бойынша ең ауқымды конференция KazHackStan қарсаңында екінші деңгейлі банктердің мобильді қосымшаларының қауіпсіздігіне талдау нәтижелерін жариялайды.
Зерттеу аясында TSARKA сарапшылары мобильді қосымшаларды тестілеу, талдау әдістерін, автоматтандырылған сканерлеу құралдарын (MobSf, apkhunt және nuclei) пайдаланды. Бұл құралдар қауіпті бағдарламаларды талдауға және мобильді қосымшалардың (Android/iOS/Windows платформалары үшін) қауіпсіздігін бағалауға арналған автоматтандырылған, жан-жақты платформаның бөлігі.
Зерттеу барысында Қазақстандағы 11 жетекші екінші деңгейлі банктің қосымшалары талданды. Оның 4 санат бойынша 20 тұсы зерттелді.
«Бұл мобильді қосымшалардың кей тұстарын дереу түзету өте маңызды деп атап өтуге болады», – деп жазылған зерттеуде.
Мысалы, зерттелген қолданбалардың жартысынан көбі құпия ақпаратты қосымша каталогындағы жеке файлда сақтайды. Ал мұнда сақталған деректер қорғалмаған.
«Осылайша пайдаланушының аутентификациясы немесе төлем деректері ішкі каталогта сақталғаны қауіпті. Бұл клиенттің шотын немесе қаражатын толық жоғалтуға әкелуі мүмкін», – деп жазылған талдауда.
Мобильді қосымшаның қауіпсіздігінің маңызды аспектісі – пайдаланушының рұқсатынсыз құпия деректерді үшінші тұлғаларға берілуін тексеру. Сонымен қатар сарапшылар қазақстандық банктердің мобильді банкингіндегі құпия ақпаратты дұрыс сақтауға қатысты ескерту жасады.
Еске сала кетсек, қытайлық хакерлер тобы екі жылдан астам уақыт бойы қазақстандық байланыс операторларының инфрақұрылымынан деректерді ұрлаған.
Бұған дейін депутат Екатерина Смышляева деректердің мемлекеттік жүйелерден ұрлану жағдайы көп емес екенін, негізінен жекеменшік компаниялардың кибер-қауіпсіздікке немқұрайлы қарайтынын айтты. Олар тұтынушы деректерін кибер шабуылдан дұрыс сақтай алмағаны себепті азаматтардың мәліметтері алаяқтардың қолына түсуі мүмкін екенін атап өтті.