Weit verbreitete Sicherheitslücken in Mobile-Banking-Apps

Laut einer Studie von Positive Technologies ist die Hälfte der mobilen Banken anfällig für Betrug und Diebstahl von Geldern aufgrund unzureichender Sicherheit bei Apps. Die Analyse ergab, dass mobile Bankanwendungen eine Reihe von Sicherheitsmängeln aufweisen, die von Cyberkriminellen ausgenutzt werden können, um auf sensible Daten zuzugreifen und Betrug zu begehen.

Positive Technologies sagte, dass keine der 14 getesteten mobilen Bankanwendungen ein akzeptables Sicherheitsniveau aufwies. In Bezug auf die von Kunden installierten Anwendungen zeigte sich, dass 43% wichtige Informationen im Klartext auf dem Telefon speichern, wodurch die Gefahr besteht, dass Unbefugte auf die Daten zugreifen können. Darüber hinaus können 76% der Schwachstellen ohne physischen Zugang zum Gerät ausgenutzt werden, und über ein Drittel kann ohne Administratorrechte ausgenutzt werden.

Weit verbreitete Sicherheitslücken in Mobile-Banking-Apps

Jede analysierte mobile Bank wies durchschnittlich 23 Schwachstellen auf der Serverseite auf, die 54% aller gefundenen Schwachstellen enthielten. Fast die Hälfte (43%) wies serverseitige Schwachstellen in der Geschäftslogik auf, die Angreifer nutzen können, um auf sensible Benutzerinformationen zuzugreifen und Betrug zu begehen.

In dem Bericht hieß es auch, dass Hacker in fünf von sieben mobilen Banken die Zugangsdaten von Benutzern stehlen können, während in einem Drittel der mobilen Banken Karteninformationen gefährdet sind.

Es gab auch Unterschiede bei den Arten von Sicherheitsmängeln zwischen iOS und Android-Anwendungen; bei iOS wurden keine Mängel als „mittel“ eingestuft, während bei Android 29% als „hohes Risiko“ eingestuft wurden.

Olga Zinenko, Analystin bei Positive Technologies, kommentierte dies: „Banken sind nicht vor Reverse Engineering ihrer mobilen Anwendungen geschützt. Darüber hinaus geben Banken den Quellcode schnell Preis, speichern sensible Daten im Klartext auf mobilen Geräten und machen Fehler, die es Hackern ermöglichen, Authentifizierungs- und Autorisierungsmechanismen zu umgehen und die Benutzeranmeldung zu umgehen.

Durch diese Schwachstellen können Hacker an Benutzernamen, Kontostände, Überweisungsbestätigungen, Kartenlimits und die mit der Karte eines Opfers verbundene Telefonnummer gelangen.

„Wir fordern die Banken dringend auf, die Anwendungssicherheit während des gesamten Designs und der Entwicklung stärker in den Vordergrund zu stellen. Der Quellcode ist voller Probleme, weshalb es von entscheidender Bedeutung ist, Entwicklungsansätze durch die Implementierung von SSDL-Praktiken und die Gewährleistung der Sicherheit in allen Phasen des Anwendungslebenszyklus zu überdenken.

Erst letzte Woche warnte das FBI davor, dass Cyberkriminelle versuchen, während der COVID-19 von der wachsenden Nutzung mobiler Banking-Anwendungen zu profitieren.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.