Согласно сообщениям Security Week, анализ популярных мобильных приложений для торговли акциями показал, что многие из них уязвимы для хакерских атак из-за отсутствия важных функций безопасности.
Alejandro Hernández, исследователь IOActive, протестировал около 20 популярных приложений для торговли акциями на Android и iOS. Он отметил, что наиболее безопасное приложение было разработано брокерской фирмой, которая пострадала от атаки много лет назад. Некоторые уязвимые места можно использовать, имея физический доступ к целевому устройству. Это пароли, хранящиеся в открытом тексте в 19% от протестированных приложений, ведение журнала различных типов конфиденциальных данных без шифрования в 2/3 приложений.
Мобильные приложения фондовой торговли позволяют пользователям покупать или продавать акции, переводить средства со своих банковских счетов, отслеживать капитал, контролировать принадлежащие им ценные бумаги и прибыль, создавать оповещения для определенных пороговых значений и общаться с другими трейдерами. Основная часть приложений использует протокол http для передачи данных, но не внедряет SSL сертификат. Это позволяет посреднику (MitM) атаки получить доступ к данным, украсть их или изменить. Атаки посредника могут использоваться для вставки вредоносного кода JavaScript в приложение.
По мнению главы Агентства кибербезопасности Евгения Лифшица, информация о финансовом положении человека не должна храниться без шифрования.
Эти данные с легкостью могут получить мошенники. Электронная торговля – это одно из самых уязвимых мест, так как основное внимание в кибербезопасности направлено на фишинговые сайты, кражу больших массивов личных данных, риски в социальных сетях. Конечно, стоит задуматься о создании более защищенных продуктов и более продуманного технического задания для производителей.