Қазақстандағы мобильді банкинг қауіпсіздігіне қатер төнді

 Орталық Азиядағы ең ірі киберқауіпсіздік конференциясы (KazHackStan) қарсаңында TSARKA Group екінші деңгейлі банктердің мобильді қосымшаларының қауіпсіздігіне қатысты талдау нәтижелерін жариялады.

Айта кетейік, зарттеу барысында TSARKA сарапшылары бірнеше әдісті қолданған. Оның ішінде, мобильді қосымшаларды тестілеу мен талдау, автоматтандырылған сканерлеу құралдарын (MobSf, apkhunt және nuclei) пайдаланған. Олар зиянды бағдарламаларды талдауға және мобильді қосымшалардың (Android/iOS/Windows платформалары) қауіпсіздігін бағалауға арналған.

Яғни, осы тәсіл арқылы олар  қолмен және  автоматты түрде анықталған ықтимал қауіптердің алдын алып, мобильді қосымшалардың қауіпсіздігін жан-жақты бағалауға қол жеткізген. Айта кетерлігі, зерттеу барысында еліміздің 11-ге жуық екінші деңгейлі банктерінде 4 санат бойынша 20 осалдық анықталыпты. Оның ішінде түзетуді бірден қажет ететін тұстар табылған.

Мысалы, зерттелген қолданбалардың жартысынан көбі құпия ақпаратты қолданбалар каталогындағы жеке файлда сақтайды. Қолданбаның ішкі каталогында сақталған деректер қазірдің өзінде қорғалған және шабуылдаушы оған қол жеткізе алмайды деп жиі қателеседі. Дегенмен, құрылғының сақтық көшірмесінен бастап құрылғыға физикалық қол жеткізуге және әртүрлі осалдықтарды пайдалануға дейін мұны істеудің көптеген жолдары бар.

Осылайша, қолданбаның құм жәшігіндегі файлдарға қол жеткізуге мүмкіндік беретін басқа осалдықтар туындаса, бұл оларда құпия ақпаратты сақтауды өте маңызды етеді, әсіресе пайдаланушының аутентификациясы немесе төлем деректері ішкі каталогта сақталса. Мұндай жағдайларда бұл клиенттің шотын немесе қаражатын толық жоғалтуға әкелуі мүмкін.

Осыған қатысты Tsarka Group басшысы әрі негізін қалаушы Олжас Сәтиев пікір білдірді.

«Биыл біз бұл олықылықтарды KazHackStan конференциясында талқылау үшін әдейі кейінге қалдырдық. Бір жағынан, банктердің осы кемшіліктерді түзетуге мүмкіндіктері болды. Бірақ олар өкінішке қарай, мәселені әлі шеше алмай отыр. Бұл біздің еліміз үшін қалыпты жағдай деп айтсақ болады. Bug Bounty платформасына қосылу талаптарының мемлекеттік деңгейде енгізілуі қауіпсіздік зерттеулерінің тұрақты өсуіне серпін берді деп есептейміз. Алайда, алда атқарылар жұмыс көп. Тек практикалық тұрғыда емес, сонымен қатар ойлау парадигмасын да өзгертуіміз қажет», - деді Олжас Сәтиев.

Естеріңізге сала кетейік, Олжас Сәтиев және оның TSARKA командасы бизнесті, мемлекетті және Қазақстан Республикасының азаматтарын киберқылмыскерлерден қорғау үшін он жылдан астам уақыт бойы табанды жұмыс істеп келеді. Ондағы жүздеген білікті маман елдегі бизнесті қорғауға әрдайым дайын.

Қосымша ақпарат алғыңыз келсе, мына pr@heartland.kz поштаға жазыңыз.

TSARKA қолдауымен