Согласно результатам нового исследования защищенности мобильных приложений для iOS и Android 16 ведущих банков России, проведенного компанией Digital Security, 68% банков позволяют вывести средства через мобильное приложение после замены sim-карты. Таким образом, злоумышленники могут похищать деньги со счетов клиентов.

Также эксперты Digital Security обнаружили, что 18% банков позволяют раскрывать конфиденциальные данные клиента по телефону, в том числе, узнавать баланс счета, информацию о движении средств, что потенциально может привести к краже денег и другим негативным последствиям. В 62% рассмотренных банков доверяют номеру, с которого совершается звонок в call-центр, за счет чего возможно получить приватные данные, зная только номер телефона жертвы. Из всех рассмотренных мобильных банковских клиентов 18% не имеет второго фактора защиты для входа на обеих платформах (iOS и Android).

Помимо этого, более половины изученных мобильных банковских клиентов на iOS сохраняет критичные данные в памяти, в 6 из 16 приложений на Android пароль остается в памяти после завершения сессии. Далее, рассмотренные инструменты позволяют раскрыть координаты пользователя (7 из 16 на iOS; 4 из 16 на Android), что также может быть использовано злоумышленниками при реализации атаки.

При отборе материалов для анализа специалисты Digital Security руководствовались рейтингами самых устанавливаемых банковских приложений App Store и Google Play из раздела «Финансы» и списка «Топ 100 Российских банков» (по версии издания banki.ru на ноябрь 2017 года). В конечный список вошли 16 банковских приложений, а список мобильных операторов был ограничен «большой четверкой».