ضعفهای موبایل نیازمند بازبینی برنامه های بانکداری/۹ برنامه از ۱۰ برنامه بانکی دچار ضعفهای جدی امنیتی است

به گزارش پایگاه خبری بانکداری الکترونیک، مارتین بالداک مدیرعامل موسسه Stroz Friedberg در لندن است که در حوزه تحقیقات، مدیریت ریسک و فناوری فعالیت می کند. او می گوید:سال گذشته تعداد کل محموله های جهانی تلفن هوشمند  از مرز یک میلیارد دستگاه گذشت. این امر اهمیت استراتژیک بانکداری موبایل یا «درحال حرکت» را به عنوان پایگاهی برای رشد آتی تقویت می کند. اما با توجه به  اینکه بیش از یک سوم کاربران اینترنتی انگلیس هم اکنون از برنامه موبایل بانکینگ استفاده می کنند، نگرانی هایی درباره غفلت تهیه کنندگان در پرداختن به خطرات امنیتی ظهور کرده است.

طبق آخرین تحقیقات IOActive که بیش از 40 برنامه بانکداری موبایل را از 60 بانک برتر دنیا بررسی کرده است، 9 برنامه از 10 برنامه بانکداری دچار ضعفهای بسیار جدی امنیتی است. در نتیجه مهاجمان سایبری ممکن است ترافیکی را ایجاد و کدی تزریق کنند تا به طور مصنوعی عملیات ورود به برنامه را انجام دهند یا پیامهای هشدار ( پیامهای قرمز) یا ایمیل از دستگاه  مشتری ارسال کنند.

باید خیلی سریع درباره فرایند خلق برنامه بررسی های دیگری انجام شود و درآن نکات امنیتی در اولویت فهرست نکات مورد بررسی  قرار گیرند. در گذشته مدیربخش IT بانک شغلی تقریبا مستقیم و مشخص داشت . او محیطی ایمن را اطراف سیستمهای مرکزی و سنتی می ساخت اما در دنیای برنامه های موبایل تمام این موارد تغییر کرده اند.محیط شکسته شده است و خلق برنامه نیز حاوی چالشهایی متفاوت از خلق برنامه های شرکتی است.

ممکن است برنامه نویسی شتابزد  دسترسی مجرمان به سیستمهای شرکتی بانکها را سبب شود اما متاسفانه دراین باره آگاهی کمی وجود دارد. محققان اشاره می کنند که هکرها تاکنون توانسته اند کدهای دوگانه در یک برنامه را بشکنند و اطلاعات محرمانه برنامه نویسی را کشف کنند. مجرمان اینترنتی با استفاده از چنین اطلاعاتی حتی می توانند به زیربنای برنامه نویسی بانک دسترسی یابند و اطلاعات محرمانه را فاش کنند، یا از آن بدتر بدافزاری را در زیربنای داخلی بانک وارد کنند.

 کارشناسان و برنامه نویسان در جستجوی خود برای ارتقای تجربه کاربر و در دسترس قراردادن برنامه ها با حداکثر سرعت ممکن، احتمال دارد زمان کافی برای در نظر گرفتن دیدگاه یک کلاهبردار و مجرم را نداشته باشند.

این حقیقت که تعداد کمی از برنامه نویسان در فناوری مالی سنتی نیز فعالیت کرده اند، شرایط را وخیم تر می کند . به همین دلیل این گروه از برنامه نویس  با ملزومات یگانه سیستم بانکداری نا آشنا هستند. برخی بانکها برای پرداختن به این موضوعات گامی برداشته اند و گروههای متخصص جداگانه ای ایجاد کرده اند که  قبل از عرضه برنامه، امنیت آن را بررسی می کنند. البته موضوعاتی وجود دارند که باید برای کاهش خطرات توسعه وبه کارگیری سریع برنامه ها به آنها پرداخت. برخی عواملی که باید در نظر  گرفته شوند عبارتند از زمینه روش اتصال و مکان داده ها. به عنوان مثال ممکن است بانکها بتوانند با استفاده از ویژگیهای مربوط به مکان درباره دسترسی غیر مشروع به حسابهای کاربران به آنها  اطلاع رسانی کنند. این دسترسی به برنامه از طریق سیستم عمومی باز وای-فای غیر ایمن انجام می شود.

 مشتریانی که برای دسترسی آنلاین به حسابهایشان از پی سی استفاده می کنند، عادت دارند https را قبل از یک آدرس ایمن وب سایت ببیند و همراه آن قفلی وجود داد که در آدرس بار ظاهر می شود و به آنها اطمینان می دهد. درهر حال اغلب برنامه ها به طور کاملا واضح وضعیت امنیتشان را نشان نمی دهند و از سوی دیگر کاربران نیز عادت ندارند اقدامات امنیتی را در نظر بگیرند.

کلاهبرداران به طرز روزافزونی کاربران برنامه های موبایل را هدف می گیرند زیرا افراد تصور نمی کنند مجرمان  تلفنهای هوشمند و تبلتهایشان را  هدف گرفته اند.

اغلب کاربران درباره ایملیهای مجرمان مطلع هستند. این ایمیلها از کاربر می خواهند روی لینکی کلیک کند تا رمز بانکیشان را ارتقا دهد .اما اگر کاربران پیام خطایی را در برنامه بانکیشان دریافت کنند که نشان دهد  صفحه ورودشان بسته شده و باید رمز خود را دوباره وارد کنند، این امر برایشان چندان هشدار دهنده نخواهد بود.

اگر برنامه ای نیازمند امضای تایید فرایند برای کنترل امنیت ارتباط و سیستم معتبر بانکی نباشد،  هکرها می توانند چنین حمله ای را انجام دهند.

 برای کاهش بیشتر خطرات برنامه، برنامه نویسان باید  میزان داده های حساس ذخیره شده در تلفن هوشمند یا تبلت را بکاهند و تضمین کنند اطلاعات رمزگذاری شده اند. همزمان در ارتباط میان برنامه و بانک باید از پروتکلهای  امنیتی انتقال وجه استفاده شود و  گواهینامه های SSL  نیز باید توسط برنامه تایید شوند.

 بدون شک گزارشات خرابی سیاهه های مربوطه به برنامه نویسان کمک می کند اشکالات احتمالی برنامه را تشخیص دهن، آنها به نقطه ضعف تبدیل می شوند و باید از دسترسی مجرمان سایبری به چنین اطلاعاتی جلوگیری شود.

 از سویی یکپارچگی فناوری زیربنایی بسیار مهم است اما احراز هویت مشتری بخشی حیاتی برای سخت تر کردن امنیت یک برنامه است. درهرحال طبق آمار IOActive ، 70 درصد برنامه های بانکی از روش احراز هویت چندعاملی یا هرگونه روش احراز هویت جایگزین تایید پردازش استفاده نمی کنند.

  یکپارچه سازی احراز هویت چندگانه در برنامه مشکل نیست و می توان از آن برای تعیین کلمه رمز استفاده کرد. روشهای مختلف فناوری یکپارچه سازی وجود دارد از ارسال پیامکی با جزییات بیشتر برای ورود به بانک به تلفن هوشمند گرفته تا فناوریهای بیومتریک نوظهور مانند شناسایی اثر انگشت، صورت یا صوت که امنیت را به طرز چشمگیری ارتقا می دهد.

چالشی دیگر در  تلفنهای ارتقا یافته نیز وجود دارد، که در آن ممکن است افراد با بازکردن قفل دستگاه یا انجام فرایند rooting، تنظیمات امنیتی اصلی وکارخانه ای را تغییر دهند. البته  تعیین کدی برای جلوگیری از نصب برنامه بانکداری در تلفنهای ارتقا یافته ملزوم نیست اما بهتر است فرایندهای کنترل خاصی در آن نصب شود که به مشتریان درباره خطرات هشدار می دهد.

 همانطور که مجرمان اینترنتی روشهای خود را ارتقا میدهند، بانکها نیز باید خیلی سریع برای بررسی مقاومت و ضعفهای احتمالی در برنامه های کنونی اقداماتی کنند. مشتریان به بانکها اعتماد کرده اند تا سیستمهای خود را ایمن کنند و بانکها باید تجربیات موبایل بانکینگ را تاحد ممکن ایمن کنند. با توجه به اینکه خطرات مالی و شهرتی بسیار زیادی وجود دارد،برنامه های بانکداری باید از نقطه صفر دوباره خلق شوند و تمرکز آنها شناسایی نقاط ضعف احتمالی است.

منبع:
http://www.bankingtech.com/