Согласно исследованию российской компании Positive Technologies, уровень безопасности финансовых приложений по-прежнему остается низким, при этом больше всего уязвимостей приходится на онлайн-банки. По данным экспертов компании, почти все из исследованных продуктов содержали хотя бы одну уязвимость с критически высоким уровнем опасности. В среднем же на каждый онлайн-банк пришлось по 2,1 уязвимости высокого уровня риска. Правда, по сравнению с предыдущим годом их число снизилось вдвое.

Уязвимость финансовых приложений по итогам 2016 года тоже снизилась. Если в 2015 году на одно приложение приходилось 8,9 уязвимостей, то теперь их число снизилось до 6,2 (речь идет о средних значениях). Однако при этом доля критически опасных уязвимостей увеличилась на 8%, а доля уязвимостей среднего уровня риска выросла и вовсе сразу на 18%. Главными проблемами, которые удалось выявить в 2016 году, стали недостатки механизмов идентификации, аутентификации и авторизации.

«Большинство онлайн-банков (71%) имеют недостатки в реализации двухфакторной аутентификации. 33% приложений онлайн-банков содержат уязвимости, которые позволяют попросту украсть деньги, а 27% приложений позволят злоумышленнику получить доступ к сведениям, составляющим банковскую тайну», – говорится в исследовании.

Под вопрос эксперты компании поставили и традиционно считавшуюся неуязвимой защиту автоматизированных банковских систем (АБС). И речь идет не только о выявлении уязвимостей. По данным Positive Technologies, две трети из них оказались критически опасными. Они открывали злоумышленникам административный доступ к серверу, позволяя проводить любые мошеннические финоперации – и речь идет не только об открытии новых счетов с любыми суммами денег, но даже о подмене платежных поручений, отправляемых в Центробанк.