Muitos aplicativos de finanças, trade e bancos virtuais estão repletos de bugs que podem permitir que invasores acessem dados confidenciais dos usuários, revelou um relatório nesta semana.

Os menores provedores de aplicativos financeiros para dispositivos móveis tinham as melhores práticas de segurança, enquanto os maiores participantes produziam os aplicativos mais vulneráveis, de acordo com uma análise de seis semanas encomendada pela empresa de proteção de aplicativos Arxan.

O relatório, Em vista: A epidemia de vulnerabilidades nos apps financeiros, avaliou 30 apps abrangendo oito tipos: banco de varejo, cartão de crédito, pagamento móvel, criptomoeda, contas de poupança de saúde (HSA), corretagem de varejo, seguro de saúde e seguro de veículos. Ele encontrou uma série de vulnerabilidades nos aplicativos (cujos nomes foram redigidos), incluindo a falta de proteções binárias, que permitem que um invasor corromper o aplicativo.

Como o relatório explica, descompilar um aplicativo envolve revertê-lo para revelar seu código-fonte original. Isso fornece uma FORTUNA de informações confidenciais, possivelmente incluindo chaves de interface de programação de aplicativos (API), certificados privados e URLs codificados no software. O relatório constatou que 27% dos aplicativos codificaram chaves de API codificadas e certificados privados em seu código-fonte ou o usuário armazenou de forma insegura no sistema de arquivos do dispositivo.

Causa e efeito da quebra de código

A descompilação também pode permitir que os adversários compreendam melhor a lógica da aplicação e encontrem falhas nela, ou simplesmente violem o software e introduzam código malicioso antes de o recompilar e distribuir. Isso se traduz em alguns perigos do mundo real, dizia:

Todas essas ameaças decorrentes da capacidade de descompilar o aplicativo podem levar a uma série de explorações contra as IFs ou seus clientes, incluindo aquisições de conta, fraude de identidade sintética, fraude de solicitação de crédito, roubo de identidade, quebra de cartão de presente e ataques de preenchimento de credenciais.

Outras falhas de segurança nesses aplicativos incluíam o armazenamento de dados inseguro, no qual os aplicativos armazenavam dados no sistema de arquivos local do dispositivo, no armazenamento externo ou copiados para a área de transferência. O relatório descobriu que 83% dos aplicativos eram culpados disso, o que poderia permitir que invasores acessassem dados confidenciais.

Além disso, 80% dos aplicativos usavam criptografia fraca, o que poderia permitir que os invasores descriptografassem dados financeiros confidenciais, enquanto 70% usavam a geração de números aleatórios inseguros, o que tornava possíveis os segredos produzidos pelo aplicativo por terceiros.

Alguns aplicativos compartilham serviços com outros aplicativos nos dispositivos móveis, criando possíveis problemas de vazamento de dados. E 43% dos aplicativos eram vulneráveis ​​à injeção do lado do cliente, em que uma página da Web exibida diretamente no aplicativo poderia forçá-lo a executar códigos maliciosos.

Além disso, 10% dos aplicativos confiam em qualquer certificado digital mostrado para eles, permitindo que alguém represente um banco usando um ataque man-in-the-middle.

Das 180 vulnerabilidades críticas descobertas nos 30 aplicativos, os aplicativos de banco de varejo tiveram o maior número. Corretoras de varejo e companhias de seguros de automóveis são as próximas. Os aplicativos de criptomoeda se saíram muito bem, porém, implementando a maioria dos controles de segurança, segundo o relatório.

O software financeiro não é a única categoria de software que regularmente apaga seu caderno de segurança. O relatório concluiu:

Embora os resultados deste relatório sejam específicos para essas empresas, muitos deles são sistêmicos em todos os aplicativos móveis testados, e outros tipos de empresas devem usá-los como um guia para proteger seus aplicativos móveis.