Klika istraživala sigurnost mobilnih aplikacija u BiH - rezultati zabrinjavajući

Pored toga i broj korisnika mobilnog interneta raste iz dana u dan, a u našoj zemlji bilo ih je 1,5 miliona prema izvještaju iz 2017.

Tim Klike koji se bavi sigurnošću aplikacija u proteklih par mjeseci proveo je istraživanje trenutnog stanja tržišta mobilnih aplikacija koje su namijenje korisnicima u Bosni i Hercegovini, a kreirale su ih regionalne kompanije. Ovo istraživanje je obuhvatilo oko 100 mobilnih aplikacija iz nekoliko kategorija: Finansije, Hrana, Vladine organizacije, Mediji, Vijesti, Online kupovina, Sport i Prevoz.

Rezultati istraživanja su pokazali da većina aplikacija ne zadovoljava osnovne standarde sigurnosti – prosječan rezultat bio je 40 od 100 bodova, a CVVS ocjena 5,4. Napominjemo, da aplikacije koje nemaju niti jedan sigurnosni propust imaju 100 bodova, dok se za svaki propust, u zavisnosti od njegove težine, taj broj umanjuje za određeni broj bodova, a CVVS je standardna ocjena kojom se opisuju sigurnosni propusti (gdje je ocjena 5,4 pripada srednjoj kategoriji rizika). Posebno slabe rezultate su pokazale aplikacija iz finansijskog sektora – ako se uzmu u obzir samo nativne mobilne aplikacije, finansijski sektor ima rezultat 24 od 100.

Šta je osnovni problem kod aplikacija koje smo analizirali?

Tokom analize primijetili smo da većina aplikacija ima bar neki sigurnosni propust, a najčešći propusti su bili:

• Curenje osjetljivih informacija - Aplikacije često ostavljaju u log fajlovima tzv. PII podatke (Personal Identifiable Information) pa čak i šifre korisnika. • Podložnost phishing napadima - Mogućnost da se druge aplikacije/sistemi predstavljaju kao originalni, te da tako dolaze do podataka koji bi trebali biti zaštićeni. • Napad preko posrednika (Man in the Middle Attack) – Kod ove vrste napada jednostavnim mrežnim proxy-ima se moze doći do podataka koje aplikacija šalje i/ili prima preko mreže (čak i u slučaju da koristi sigurnosni https protokol). • Mobilni malware - Mogućnost da druge aplikacije dolaze do podataka originalne aplikacije ili vrše interakciju sa njom bez znanja korisnika. • Finansijske prevare - Zloupotreba dijela aplikacija kao polazne tačke za socijalni inžinjering radi pribavljanja finansijske koristi. • Prepakiranje i kloniranje aplikacija - Aplikacije se mogu dekompajlirati, izmjeniti (dodati novo ponašanje) i objaviti na nestandardnim app store-ovima.
• Nedovoljna enkripcija podataka - Moderne aplikacije često smještaju podatke u neki vid lokalne baze, a veoma često takvi podaci su loše ili nikako zaštićeni.

Pokazalo se da je najčešća meta cyber kriminalaca je finansijski sektor. U proteklih 12 mjeseci svjedočili smo povećanju napada na bankarski sektor u Bosni i Hercegovini, a napadi su se kretali od DDoS napada, kradje kartica, pa sve do visokosofisticiranih napada na mreže bankomata.

Jedan od kanala napada su i mobilne aplikacije. Često se zanemaruje dimenzija napada koji se mogu desiti kada zlonamjerni akteri imaju fizički pristup uređaju. Ovo je oduvijek bilo prisutno u razmatranju sigurnosti sistema, ali je u praksi puno teže bilo izvodljivo (ukrasti desktop računar, laptop, server) za razliku od mobitela kojeg je puno lakše otuđiti.

Zloupotreba mobilnih aplikacija nije moguća samo kada imate fizički pristup uređaju već i kao remote meta npr. nedavno je kompanija Promon pronašla mogućnost da se bilo koja aplikacija predstavi kao neka druga i tako pokupi korisnički input (StrandHogg 2.0).

Kako se zaštititi?

Postoje koraci koje krajnji korisnici mogu poduzeti već danas:

• Koristite dvo-faktorsku autentifikaciju. • Kada otvorite linkove i emailove, uvijek provjerite ispravnost URL-a. • Izbjegavajte nesigurne WiFi mreže. • Aplikacije instalirajte samo sa oficijelnih app prodajnih mjesta.

U slučaju da se bavite razvojem mobilnih aplikacija savjetujemo vam da periodično uradite testove ranjivosti (Penetration Testing). Sigurnosni nivo testiranje se definisu u zavisnosti od toga ko su korisnici aplikacije i kakvim se podacima aplikacija koristi npr. za aplikaciju koja prikazuje vijesti dovoljan je osnovni nivo testiranja, dok za aplikacije koje se bave finansijama ili zdravstvenim podacima potreban je visoki nivo testiranja.

Ako se pokazalo da vaše aplikacije nisu dovoljno sigurne, niste jedini, jer prema Gartneru, 75% mobilnih aplikacija palo bi na osnovnom testu sigurnosti. Ipak, postoji način da vaše aplikacije učinite sigurnijim- Klika Security Sense. Klika vam nudi prvoklasne usluge testiranja ranjivosti nativnih i hibridnih aplikacija. Naši sigurnosni analitičari su vam na raspolaganju za razgovor o nalazima testiranja i pomoć pri kreiranju sigurnosne strategije. Pored toga, nudimo punu razvojnu podršku, možemo vam preporučiti alate, te pomoći da izbjegnete sve sigurnosne rizike.