Мобильный банкинг всё так же опасен
13.08.2010
В конце июля Citigroup Inc., США, выступила с заявлением о том, что в системе безопасности бесплатного программного приложения мобильного банкинга для iPhone компании Apple обнаружена неисправность, которая может привести к утечке конфиденциальной информации.
В конце июля Citigroup Inc., США, выступила с заявлением о том, что в системе безопасности бесплатного программного приложения мобильного банкинга для iPhone компании Apple обнаружена неисправность, которая может привести к утечке конфиденциальной информации. Citigroup и Apple призвали клиентов срочно обновить приложение до новой версии, где, по их словам, неисправность устранена.
Читайте также
Электронные подписи прочно вошли в реалии бизнеса и решают множество задач. IT-World рассказывает об основных понятиях и процессах, связанных с усиленными подписями.
По словам представителя компании Citigroup, информация по номеру лицевого счета, платежным счетам и пароли доступа могли автоматически сохраниться приложением в скрытом файле на iPhone. В случае если компьютер был синхронизирован с телефоном, Citi не исключает возможности сохранения данных на ПК.
В результате инцидента жертвами уже стали примерно 117600 держателей iPhone, чьи телефоны зарегистрированы в Citi. По предположению банка, персональная информация клиентов скорее всего не была скомпрометирована. Всего же мобильным банкингом пользуются 800000 клиентов Citibank, таким образом, он занимает 5-е место в этой сфере обслуживания.
Мобильный банкинг становится все более популярным приложением среди владельцев смартфонов, поскольку данная услуга позволяет, не отрываясь от дел, проверить свой баланс, провести перевод или оплатить счет. Как заявил Ред Гиллен, аналитик по мобильному банкингу Celent – компании, занимающейся исследованиями в области финансового сервиса, примерно 18 миллионов или 7% взрослого населения США являются активными пользователями этого сервиса или по крайней мере используют сервис Citi хотя бы раз в три месяца.
В связи с популяризацией этого сервиса эксперты обеспокоены проблемой информационной безопасности, и, как оказалось, не зря. По мнению Джона Херига, генерального директора компании Lookout (разработчик систем безопасности для мобильных телефонов) недостаток системы безопасности Citi заключается в том, что любой хакер может разработать вирус для получения персональных данных, хранящихся на iPhone.
Как заявил представитель Citi, проблема системы была обнаружена благодаря регулярному аудиту безопасности. После чего банк сообщил о проблеме своим клиентам по электронной почте. Однако, отмечает Citi, обновленная версия защищена от подобных инцидентов. Приложение не сохраняет учетные записи на iPhone или компьютер пользователя, автоматически удаляя подобную конфиденциальную информацию.
Программа разработана совместно с компанией MFoundry, разработчиком приложений в финансовой сфере для мобильных телефонов. По словам Дрю Сиверса, генерального директора MFoundry, компания разработала часть этого приложения, а именно мобильный кошелек, а затем Citi самостоятельно привязал его к паролям клиентов.
Как заявил г-н Сиверс, программное обеспечение для мобильного банкинга, разрабатываемое MFoundry, применяется в 150 банках и кредитных союзах, жалоб от них не поступало.
По словам представителя Citi, были проведены тестирования безопасности системы до и после запуска программы, но проблема не обнаружилась. Сейчас ведется расследование по этому вопросу.
Как заявил г-н Херинг, генеральный директор Lookout, его компанией было обнаружено большое количество приложений, которые имели недоработки в системе защиты информации, из-за которой персональная информация, такая как местоположение и номер телефона, могла оказаться в свободном доступе.
Ситуацию комментирует главный аналитик InfoWatch Н.Н. Федотов: «Вот оно в чём дело, оказывается! А мы гадали, отчего вдруг на чёрном рынке США подскочили "скупочные" цены на краденые айфоны. При этом другие модели смартфонов в цене не выросли. Теперь у вора (точнее,скупщика) есть шанс опустошить банковский счёт бывшего владельца телефона. Эта история - прекрасная иллюстрация давней истины: защита устройства должна быть конструктивной, встроенной; а "внешняя" или "навесная" защита не может быть эффективной. Создатели смартфонов не озаботились встроенным шифрованием диска (флэш-накопителя) своего аппарата.Создатели приложений "банк-клиент" тоже сэкономили на защите, чтоб успеть раньше выйти на рынок. В итоге - возможность утечек, всплеск краж смартфонов и дополнительные доходы тем, кто делает программы криптографической защиты информации, то есть нам».