Kilka dni temu mBank wprowadził odświeżoną aplikację mobilną z funkcją płatności Android Pay, logowaniem odciskiem palca także na platformie Android oraz narzędziami pomagającym kontrolować osobisty budżet. Warto przy tej okazji zapytać o bezpieczeństwo wszystkich aplikacji bankowych pojawiających się na polskim rynku.
Sama aplikacja ma sporo nowych funkcjonalności jak płatności natychmiastowe w Internecie poprzez BLIK OneClick. Polegają one na zapamiętaniu urządzenia mobilnego, sklepu internetowego lub przeglądarki w aplikacji mobilnej banku. Ale największym newsem dla klientów mBanku są zapewne płatności zbliżeniowe HCE za pośrednictwem Android Pay. Na razie dostępne są tylko dla posiadaczy kart MasterCard, ale przed wakacjami skorzystają z tej funkcji także klienci VISA.
Jednocześnie wraz z nową aplikacją, bank upowszechnia też mobilną autoryzację – czyli jak twierdzi łatwiejszy, szybszy i bezpieczniejszy sposób potwierdzania operacji realizowanych w serwisie transakcyjnym. Cały proces odbywa się w aplikacji i nie wymaga dodatkowego oprogramowania. Jak informuje bank jest to bezpieczniejsza alternatywa dla popularnych dziś haseł SMS-owych i kodów jednorazowych.
Jeśli chodzi o bezpieczeństwo komunikacja między w przypadku mobilnej autoryzacji komunikacja pomiędzy aplikacją mobilną a serwisem transakcyjnym zabezpieczona jest szyfrowaniem SSL / TLS 1.2 oraz dodatkowym szyfrowaniem wewnątrz kanału SSL/TLS. To gwarantuje poufność i autentyczność powiadomienia autoryzacyjnego. Wszystkie szczegóły operacji przetwarzane przez aplikację mobilną chronione są przed nieautoryzowanym dostępem nieuprawnionych użytkowników oraz złośliwych programów.
Dodajmy, że mBank wprowadził tę usługę w ramach pilotażu w grudniu ub.r. jako jeden z pierwszych na świecie i to nie jest przypadek.
Tego typu zabezpieczenia okazały się niezbędne, ze względu na informacje pojawiające się od listopada 2016 roku o nowych odmianach złośliwego oprogramowania atakującego aplikacje mobilne na Androida największych banków w m.in. Polsce, Stanach Zjednoczonych, Niemczech i Francji. Program był w stanie wykraść dane logowania z łącznie 94 różnych aplikacji. Dzięki zdolności do przechwytywania komunikacji SMS, malware może także obejść mechanizm dwuetapowej weryfikacji oparty na przesyłaniu na telefon kodów jednorazowych – o czym informowała firma Fortinet.
Po uruchomieniu aplikacji bankowej na zarażonym urządzeniu, na ekranie pojawiała się wygenerowana przez malware prośba o podanie danych logowania. Dane te były następnie wysyłane na serwer cyberprzestępców. Jak informował Fortinet atakujący wzięli na cel aplikacje następujących banków działających w Polsce: BZ WBK, Eurobank, Getin Bank, ING, mBank, Millennium, Pekao, PKO BP oraz Raiffeisen Polbank
Warto też dodać, że w lutym 2017 roku firma Eset informował również o zagrożeniach dla użytkowników smartfonów z systemem Android, których atakuje nowe złośliwe oprogramowanie, podszywające się pod bezpieczną aplikację Adobe Flash Player. Fałszywa aplikacja nakłania użytkownika do przyznania jej specjalnych uprawnień, by pobrać i uruchomić kolejne złośliwe oprogramowanie, przykładowo: wirusy szpiegujące użytkownika czy fałszywe aplikacje bankowości mobilnej.
Ale to nie wszystkie problemy bankowych aplikacji mobilnych w Polsce. Również w listopadzie 2016 roku eksperci z firmy PGS Software postanowili sprawdzić bezpieczeństwo tych programów publikując specjalistyczny raport. Okazało się, że jakość i bezpieczeństwo wielu przebadanych aplikacji mobilnych pozostawiają bardzo wiele do życzenia.
W testach PGS Software udało się m.in. doprowadzić do przejęcia sesji zalogowanego użytkownika, wycieku danych osobowych i przejęcia fragmentu maskowanego hasła dostępu. - W logach systemowych odnaleźliśmy identyfikatory logowania, tokeny sesji czy dane informujące o liczbie usług określonego typu. Co ważne w w wielu przypadkach aplikacje wysyłane do sklepu nie podlegają żadnej kontroli jakości – jak bowiem uwierzyć, że testy przeszła aplikacja, w której zasobach znajduje się plik tekstowy z kompletem testowych
danych logowania na środowisku produkcyjnym? – pytają eksperci. Cały raport PGS Software wraz z wykrytymi błędami.
Pod znakiem zapytania pozostaje także promowana przez banki funkcja udostępnianej w nowoczesnych smartfonach autoryzacji za pomocą technologii biometrycznych. Na to z kolei wskazywała niedawno jedna z ekspertek firmy Kaspersky Lab. „Problem z danymi biometrycznymi polega na tym, że w przeciwieństwie do haseł czy PIN-ów, które można łatwo zmodyfikować w przypadku włamania, zmiana odcisku danego palca czy obrazu tęczówki jest niemożliwa. Zatem, jeśli ktoś raz uzyska nielegalny dostęp do danych, ponowne wykorzystanie takiej metody uwierzytelniania nie będzie bezpieczne. Dlatego niezwykle ważne jest zabezpieczenie takich danych i przesyłanie ich w odpowiedni sposób. Dane biometryczne są zapisywane również we współczesnych paszportach oraz wizach. Jeśli zatem ktoś ukradnie e-paszport, będzie w posiadaniu nie tylko tego dokumentu, ale również danych biometrycznych jego właściciela. W zasadzie ukradnie tożsamość takiej osoby” – powiedziała Olga Koczetowa, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
Oprac. T.J.