Программы для Windows Программы для смартфонов и планшетов Программы для Linux и Unix Драйвера
 

Блог о софте

Американский нейрофизиолог Джон Лилли 21 июля сделал заявление, что ему удалось расшифровать некоторую часть языка дельфинов...
Из-за патологий внутреннего уха человек может чувствовать себя пьяным...
Учёные из NASA опубликовали шесть новых фотографий крупнейшего спутника Сатурна - Титана, выполненных в инфракрасном спектре. На данный момент это самые детальные снимки объекта...
В космическом пространстве зафиксировали черную дыру. Телескоп MeerKAT также помог обнаружить лазерный центр всем известного Млечного Пути...
Эксперты из Йоркского университета Британии провели ряд опытов, после чего выявили уровень опасности вторичного табачного дыма...

Популярный софт

не указан
Шашки (Android) - всем известная игра. Предоставляет возможность играть как против компьютера, так и против человека, причем это можно делать и на одном устройстве, и в сетевом...
скачать Шашки (Android) v.Шашки (Android) 2.7.7
Рубрика: Программы для смартфонов и планшетов
Язык: Английский
Бесплатная
не указан
Плетение кос (Android) - с помощью этого приложения, следуя пошаговым инструкциям с иллюстрациями и описанием, можно заплести косу любой сложности.

На данный момент в...
скачать Плетение кос (Android) v.Плетение кос (Android) 2.0.1
Рубрика: Программы для смартфонов и планшетов
Язык: Английский
Бесплатная
не указан
Едадил (Android) - приложение, которое поможет выбрать ближайший супермаркет или специализированный магазин с лучшими ценами на продукты, промтовары, косметику и товары для детей.
скачать Едадил (Android) v.Едадил (Android) 3.7.15
Рубрика: Программы для смартфонов и планшетов
Язык: Английский
Бесплатная
 

НОВОЕ РУКОВОДСТВО ПО СОВРЕМЕННЫМ УГРОЗАМ В СФЕРЕ БЕЗОПАСНОСТИ


Номер телефона как идентификатор

62% российских банков полагаются исключительно на номер телефона, с которого абонент звонит в колл-центр, для первичного подтверждения личности клиента.

Таким образом, зная номер телефона жертвы, злоумышленник может получить у банка приватные данные клиента или даже заблокировать счета без подтверждения личности. Для этого достаточно с помощью SIP-оператора подделать номер телефона (Caller ID), отображающийся во время приема входящего звонка в колл-центре.

При этом 68% банков не отслеживает, была ли недавно перевыпущена SIM-карта клиента. Это дает хакеру еще одну возможность - инициировать перевыпуск карты жертвы, номер телефона которой он знает, и реализовать с помощью этой карты преступную схему по выводу средств, поскольку снятие средств после перевыпуска, как и вход в аккаунт, по-прежнему возможно.

Что касается состава данных, которые сотрудники российских банков могут сообщать по телефону, то в 18% банков у злоумышленника есть возможность узнать баланс счета и сведения о транзакциях, что может пригодиться ему для вывода средств с этого счета.

К таким выводам пришла компания Digital Security, специализирующаяся на кибербезопасности, которая опубликовала результаты исследования взаимодействия 16 крупнейших банков России с операторами сотовой связи, а именно с большой четверкой - Вымпелкомом (торговая марка Билайн), МТС, Мегафоном и Т2 Мобайл (Tele2). Авторами исследования являются аналитики Егор Салтыков и Виктор Вуколов.

Проблемы подтверждения личности

Исследование также затрагивает вопросы защищенности мобильных банковских приложений для iOS и Android. При отборе приложений Digital Security опиралась не только на Топ 100 российских банков от издания banki. ru, но и на рейтинги самых популярных банковских приложений в App Store и Google Play.

Банковские приложения хранят данные пользователей в местах, где их могут найти злоумышленники

Исследование показало, что 18% приложений рассмотренных 16 банков не имеет второго фактора защиты для входа на платформах iOS и Android - двухфакторная аутентификация отсутствует в трех из 16 случаев для обеих платформ, хотя это требование уже несколько лет входит в перечень ключевых норм безопасности банковских приложений.

Хотя оптимальной длиной SMS-кода, который используется в качестве второго фактора аутентификации, на сегодняшний день считается шесть символов, два приложения для Android используют пять символов, еще четыре приложения - четыре символа.

Точно такие же показатели продемонстрировали приложения для iOS.

Кроме того, семь из 16 приложений для iOS раскрывают координаты пользователя - широту и долготу с точностью до метра. В случае Android это делают четыре приложения.

Проблемы приложений для iOS

Большинство приложений хранит данные пользователей в местах, откуда они могут быть извлечены злоумышленником. В двух приложениях для iOS сессию нельзя полностью завершить, шесть оставляют данные клиента в Keychain, специальном хранилище iOS для хранения критичной информации, семь - в памяти, 10 - в файлах, и 11 - в cookie.

Один API для iOS использует небезопасное HTTP-соединение. 11 приложений для iOS поддерживают запуск на устройстве, пережившем Jailbreak, то есть принудительное повышение привилегий пользователя. Также есть остаточные явления периода разработки - 13 приложений содержат информацию о тестовом окружении.

11 из 16 банков позволяют снять средства с карты после замены SIM

13 из 16 приложений для iOS некорректно работают с Snapshot - при завершении сеанса они создают снимок экрана и хранят его до следующего сеанса. 10 из 16 приложений используют массив NSUserDefaults, который может содержать данные об учетной записи или банковской карте.

Проблемы приложений для Android

Одно из исследованных банковских приложений для Android хранит пароль в файлах после завершения сессии, пять сохраняют данные клиента в памяти после завершения сессии, шесть сохраняют там пароль. Также одно приложение осуществляет запись отладочной информации в журнал устройства (logcat) - эта функция может быть сохранена разработчиком при переходе из тестовой версии в окончательную. Есть и другие рудименты тестирования - в 10 приложениях содержатся SSL-сертификаты с данными о разработчике, четыре содержат информацию о тестовом окружении.

Кроме того, четыре Android-приложения допускают возможность утечки данных через Backup. 12 из них не предупреждают о работе со скомпрометированным устройством, где реализован корневой доступ.

Одно не использует проверку SSL Pinning, которая позволяет защититься от атаки типа человек посередине.

.

Другие новости на эту тему

Ученые Университета Алабамы в Бирмингеме (США) сумели состарить мышей и омолодить их, управляя активностью генов в митохондриях. Статья ученых опубликована в журнале Cell Death & Disease.Исследователи внесли в ДНК митохондрий грызунов мутацию, которая затрагивает ген POLG, кодирующий фермент ДНК-полимеразу гамма...
Глава Роскосмоса Дмитрий Рогозин объявил о начале работы над созданием ракеты Союз-5. Об этом он написал в Twitter в понедельник, 21 июля.Энергия, Прогресс и Энергомаш приступили к работе над созданием Союз-5. Затем начинаем работу по сверхтяжу (сверхтяжелой ракете-носителю - прим. Ленты.ру)...
Природные катаклизмы на востоке России и в Монголии могут значительно усилиться и участиться из-за глобального потепления. Такие выводы сделала группа американских ученых, изучив данные со спутников за последние 38 лет. Итоги их исследования опубликованы в журнале Science.Специалисты рассмотрели несколько теоретических моделей, которые описывают климат до и после промышленной революции...
Металлоинвест раскрыл сумму бюджета на цифровую транформацию Бюджет холдинга Металлоинвест на цифровую трансформацию в 2016-2020 гг. составит 6 млрд руб, рассказал гендиректор холдинга Андрей Варичев. Пик инвестиций объемом 3 млрд руб. придется на этот год. В 2019 г. будет потрачено еще 1 млрд руб...
Исчерпывающие сведения о договорах госкомпаний исчезли Как обратил внимание CNews, с сайта госзакупок исчезли тексты договоров подрядчиков с госкомпаниями. В частности, нет доступа к договорам Ростелекома, Сбербанка, Почты России и др. Напомним, что в феврале 2017 г...
Заместителя министра Носкова стали его прежние замы по АЦ Министерство цифрового развития, связи и массовых коммуникаций сообщило о назначении двух новых заместителей министра. Ими стали Евгений Кисляков и Олег Войтенко, до сих пор работавшие заместителями гендиректора автономной некоммерческой организации (АНО) Аналитический центр при правительств (АЦ). В мае 2018 г...
Объединение линеек Руководство Samsung намерено объединить популярную флагманскую линейку смартфонов Galaxy S с не менее известным семейством устройств Galaxy Note. О том, что у вице-председателя компании Джея Ли (Jay Lee) есть такие планы, сообщает корейское издание The Bell...
Американские ученые из Национального института рака и онкологического центра Моффитта пришли к выводу, что низкие дозы аспирина уменьшают риск развития рака яичников. Об этом сообщается в пресс-релизе на MedicalXpress.Специалисты проанализировали данные, полученные в ходе 13 исследований, в которых приняли участие 750 тысяч женщин...
Ученые Йоркского университета (Великобритания) выяснили, что пассивное курение значительно увеличивает риск выкидышей и пороков развития плода у беременных женщин. Об этом сообщается в пресс-релизе на MedicalXpress...
Уход заместителей министра Два заместителя министра цифрового развития, связи и массовых коммуникаций - Рашид Исмаилов и Дмитрий Алхазов - покидают свои посты по собственной просьбе. Соответствующие распоряжения правительства опубликованы 19 июля 2018 г. вечером. В зону ответственности Алхазова в министерстве входил телеком, Исмаилов занимался вопросами международного сотрудничества...
 
Rambler's Top100