Программы для Windows Программы для смартфонов и планшетов Программы для Linux и Unix Драйвера
 

Блог о софте

Смартфон за 200 долларов? - Вам в тот отдел, где все больше разбегаются глаза. Производители очень стараются здесь преуспеть, потому что ценовой сегмент действительно очень массовый...
Первый смартфон Samsung Galaxy J2 Core на операционной системе Android Go появился в базе данных сайта Launch Studio...
Компания BlackBerry недавно представила свой новый смартфон с физической QWERTY-клавиатурой BlackBerry KEY2...
Пару дней назад мы писали, что в Сеть попали новые схемы смартфона Samsung Galaxy X...
Компания Corning представила защитное стекло нового поколения Gorilla Glass с цифрой 6 в названии. По заявлению производителей, это самое прочное стекло для мобильных устройств за всю историю бренда...

Популярный софт

не указан
Яндекс.Диск (iPhone/iPad) - клиент бесплатного сервиса Яндекс.Диск, благодаря которому ваши фотографии, видеоролики и документы будут доступны вам из любой точки мира, где есть...
скачать Яндекс.Диск (iPhone/iPad) v.Яндекс.Диск (iPhone/iPad) 2.47
Рубрика: Программы для смартфонов и планшетов
Язык: Английский
Бесплатная
не указан
Google Диск (iPhone/iPad) - приложение сервиса Google Drive для безопасного хранения файлов в одном месте. Позволяет загружать на Диск фотографии, видео и документы, просматривать их...
скачать Google Диск (iPhone/iPad) v.Google Диск (iPhone/iPad) 4.2018.28203
Рубрика: Программы для смартфонов и планшетов
Язык: Английский
Бесплатная
не указан
Яндекс.Навигатор (iPad/iPhone) - Передвигайтесь по городу самыми быстрыми и свободными маршрутами. Яндекс.Навигатор всегда в курсе дорожных событий: пробок, ДТП, перекрытий и т.п....
скачать Яндекс.Навигатор (iPad/iPhone) v.Яндекс.Навигатор (iPad/iPhone) 3.17
Рубрика: Программы для смартфонов и планшетов
Язык: Английский
Бесплатная
 

НОВОЕ РУКОВОДСТВО ПО СОВРЕМЕННЫМ УГРОЗАМ В СФЕРЕ БЕЗОПАСНОСТИ


Номер телефона как идентификатор

62% российских банков полагаются исключительно на номер телефона, с которого абонент звонит в колл-центр, для первичного подтверждения личности клиента.

Таким образом, зная номер телефона жертвы, злоумышленник может получить у банка приватные данные клиента или даже заблокировать счета без подтверждения личности. Для этого достаточно с помощью SIP-оператора подделать номер телефона (Caller ID), отображающийся во время приема входящего звонка в колл-центре.

При этом 68% банков не отслеживает, была ли недавно перевыпущена SIM-карта клиента. Это дает хакеру еще одну возможность - инициировать перевыпуск карты жертвы, номер телефона которой он знает, и реализовать с помощью этой карты преступную схему по выводу средств, поскольку снятие средств после перевыпуска, как и вход в аккаунт, по-прежнему возможно.

Что касается состава данных, которые сотрудники российских банков могут сообщать по телефону, то в 18% банков у злоумышленника есть возможность узнать баланс счета и сведения о транзакциях, что может пригодиться ему для вывода средств с этого счета.

К таким выводам пришла компания Digital Security, специализирующаяся на кибербезопасности, которая опубликовала результаты исследования взаимодействия 16 крупнейших банков России с операторами сотовой связи, а именно с большой четверкой - Вымпелкомом (торговая марка Билайн), МТС, Мегафоном и Т2 Мобайл (Tele2). Авторами исследования являются аналитики Егор Салтыков и Виктор Вуколов.

Проблемы подтверждения личности

Исследование также затрагивает вопросы защищенности мобильных банковских приложений для iOS и Android. При отборе приложений Digital Security опиралась не только на Топ 100 российских банков от издания banki. ru, но и на рейтинги самых популярных банковских приложений в App Store и Google Play.

Банковские приложения хранят данные пользователей в местах, где их могут найти злоумышленники

Исследование показало, что 18% приложений рассмотренных 16 банков не имеет второго фактора защиты для входа на платформах iOS и Android - двухфакторная аутентификация отсутствует в трех из 16 случаев для обеих платформ, хотя это требование уже несколько лет входит в перечень ключевых норм безопасности банковских приложений.

Хотя оптимальной длиной SMS-кода, который используется в качестве второго фактора аутентификации, на сегодняшний день считается шесть символов, два приложения для Android используют пять символов, еще четыре приложения - четыре символа.

Точно такие же показатели продемонстрировали приложения для iOS.

Кроме того, семь из 16 приложений для iOS раскрывают координаты пользователя - широту и долготу с точностью до метра. В случае Android это делают четыре приложения.

Проблемы приложений для iOS

Большинство приложений хранит данные пользователей в местах, откуда они могут быть извлечены злоумышленником. В двух приложениях для iOS сессию нельзя полностью завершить, шесть оставляют данные клиента в Keychain, специальном хранилище iOS для хранения критичной информации, семь - в памяти, 10 - в файлах, и 11 - в cookie.

Один API для iOS использует небезопасное HTTP-соединение. 11 приложений для iOS поддерживают запуск на устройстве, пережившем Jailbreak, то есть принудительное повышение привилегий пользователя. Также есть остаточные явления периода разработки - 13 приложений содержат информацию о тестовом окружении.

11 из 16 банков позволяют снять средства с карты после замены SIM

13 из 16 приложений для iOS некорректно работают с Snapshot - при завершении сеанса они создают снимок экрана и хранят его до следующего сеанса. 10 из 16 приложений используют массив NSUserDefaults, который может содержать данные об учетной записи или банковской карте.

Проблемы приложений для Android

Одно из исследованных банковских приложений для Android хранит пароль в файлах после завершения сессии, пять сохраняют данные клиента в памяти после завершения сессии, шесть сохраняют там пароль. Также одно приложение осуществляет запись отладочной информации в журнал устройства (logcat) - эта функция может быть сохранена разработчиком при переходе из тестовой версии в окончательную. Есть и другие рудименты тестирования - в 10 приложениях содержатся SSL-сертификаты с данными о разработчике, четыре содержат информацию о тестовом окружении.

Кроме того, четыре Android-приложения допускают возможность утечки данных через Backup. 12 из них не предупреждают о работе со скомпрометированным устройством, где реализован корневой доступ.

Одно не использует проверку SSL Pinning, которая позволяет защититься от атаки типа человек посередине.

.

Другие новости на эту тему

Ученые Йоркского университета (Великобритания) выяснили, что пассивное курение значительно увеличивает риск выкидышей и пороков развития плода у беременных женщин. Об этом сообщается в пресс-релизе на MedicalXpress...
Уход заместителей министра Два заместителя министра цифрового развития, связи и массовых коммуникаций - Рашид Исмаилов и Дмитрий Алхазов - покидают свои посты по собственной просьбе. Соответствующие распоряжения правительства опубликованы 19 июля 2018 г. вечером. В зону ответственности Алхазова в министерстве входил телеком, Исмаилов занимался вопросами международного сотрудничества...
Работа над ошибками с чистого листа По данным делового портала Bloomberg, ссылающегося на информацию от анонимных индустриальных источников, разработка новой операционной системы Fuchsia OS, которая в строжайшей тайне ведется компанией Google, может означать гораздо большее, чем подготовка замены Android...
Чужих детей не бывает? Программная ошибка, закравшаяся в программный пакет Schools Information Management System (SIMS, система управления информацией для учебных заведений), привела к тому, что учащихся британских школ приписывали во внутренних документах к чужим семьям. Система SIMS используется в Великобритании повсеместно в качестве основной базы данных об учениках...
Итоги 2018 года Microsoft, один из крупнейших мировых производителей программного обеспечения, отчитался о финансовых результатах по итогам IV квартала и всего 2018 финансового года. Годовая выручка компании составила $110,4 млрд, тем самым продемонстрировав рост на 14% по сравнению с показателем прошлого года. Это лучший результат за всю историю существования компании...
Сотрудники Национального парка Гранд-Титон, который находится в 16 километрах от Национального парка Йеллоустон, закрыли некоторые участки из-за растущих трещин. В то же время разломы не связаны с возможным извержением супервулкана. Об этом сообщает Science Alert.Как пишет издание, рейнджеры обнаружили в скалах трещины длиной до 30 метров в районе водопадов Хидден...
Команду из двух роботов Федор предлагается отправить на МКС в августе 2019 года. Об этом сообщают РИА Новости со ссылкой на источник в ракетно-космической отрасли.Рассматривается идея использовать запуск беспилотного корабля Союз для тестового полета робота Федора в космос...
Международная группа ученых обнаружила новый белковый комплекс Shieldin, который восстанавливает поврежденную ДНК. Мутации в этом сложном соединении приводят к тому, что раковые клетки становятся неуязвимыми к химиотерапии на основе PARP-ингибиторов. Об этом сообщается в пресс-релизе на MedicalXpress.Исследователи проанализировали раковые клетки молочной железы, которые имели мутации в гене BRCA1...
Временного руководителя Veon сделали постоянным Главным операционным директором группы Veon (ее российская дочка Вымпелком работает под торговой маркой Билайн) назначен норвежец Шелль Мортин Йонсен (Kjell Morten Johnsen), говорится в сообщении Veon. В 2016-2017 гг. он был генидректором Вымпелкома. Весной 2018 г...
Восстановленные iPhone X В российских интернет-магазинах стартовали продажи восстановленных iPhone X - по ценам, которые значительно ниже стоимости новых устройств. Например, магазин i-Ray предлагает восстановленный iPhone X с 64 ГБ постоянной памяти в цветовых решениях Серый космос и Серебристый за 61499 руб., при том, что новый аппарат этой комплектации официально стоит в России 79990 руб...
 
Rambler's Top100