Metade dos aplicativos de bancos para dispositivos móveis — mais conhecidos como apps de mobile banking — são vulneráveis a fraudes e roubos devido à segurança inadequada, aponta estudo da Positive Technologies, fornecedora de soluções de análise de ameaças, avaliação de vulnerabilidades e gerenciamento de conformidade. A análise constatou que os apps de mobile banking apresentam uma série de falhas de segurança que podem ser exploradas por criminosos cibernéticos para acessar dados confidenciais e cometer fraudes.
A empresa testou 14 apps de mobile banking e constatou que nenhum deles tem um nível aceitável de segurança. Eles foram baixados das lojas oficiais de aplicativos (Google Play e App Store da Apple) por clientes de bancos que usam dispositivos com sistemas Android e iOS e concordaram em ceder os resultados da avaliação de segurança para fins de pesquisa.
Em relação aos apps instaladas pelos clientes, 43% demonstraram armazenar informações importantes no telefone em texto não criptografado, colocando os dados em risco de serem acessados por terceiros, não autorizados. Além disso, 76% das vulnerabilidades podem ser exploradas sem acesso físico ao dispositivo e mais de um terço pode ser explorada sem que o invasor obtenha direitos de administrador.
Cada app móvel bancário analisado tinha uma média de 23 vulnerabilidades no lado do servidor, que continham 54% de todas as vulnerabilidades encontradas. Quase a metade (43%) apresentava vulnerabilidades no servidor na lógica comercial, que os invasores podem usar para acessar informações confidenciais do usuário e cometer fraudes. O lado do servidor é o que interage com o usuário do app móvel pela internet por meio de uma API (interface de programação) especial.
Veja isso
FBI alerta para crescente risco no uso de mobile banking
Hackers levam dados de 2 milhões de clientes da T-Mobile
O relatório verificou ainda que os hackers podem roubar credenciais de usuário em cinco dos sete apps de mobile banking, enquanto as informações do cartão estão em risco em um terço dos aplicativos. Também houve variações nos tipos de falhas de segurança entre aplicativos iOS e Android. No iOS, nenhuma falha foi classificada como acima da “média”, enquanto no Android, 29% apresentavam “alto risco”.
A analista da Positive Technologies, Olga Zinenko, observa que os bancos não estão protegidos da engenharia reversa de seus aplicativos móveis. “Além disso, eles oferecem pouca proteção ao código fonte, armazenam dados confidenciais em dispositivos móveis em texto não criptografado e cometem erros, permitindo que os hackers ignorem os mecanismos de autenticação e autorização e criem uma força bruta de usuário. Com essas vulnerabilidades, os hackers podem obter nomes de usuários, saldos de contas, confirmações de transferência, limites de cartão e o número de telefone associado ao cartão de uma vítima.”
A analista enfatiza que o código-fonte dos apps de mobile banking está repleto de problemas, tornando vital revisitar as abordagens de desenvolvimento implementando práticas de SSDL (Secure Software Development Lifecycle, ou ciclo de vida do desenvolvimento seguro), de maneira a garantir a segurança em todas as etapas do ciclo de vida dos aplicativos.