Praetorianのセキュリティ専門家は今月、大手金融機関50行、大手地方銀行50行、米国大手信用組合50行の275のApple iOSおよびAndroidモバイルバンキングアプリをテストしました。その結果、80%のアプリが不適切に設定されており、ベスト・ソフトウェア・プラクティスを用いて構築されていないことが判明しました。テスト対象となった有名銀行には、バンク・オブ・アメリカ、シティバンク、ウェルズ・ファーゴ、ゴールドマン・サックス、モルガン・スタンレー、キャピタル・ワン・フィナンシャル、サントラスト・バンクが含まれます。
NSSラボの最新レポートでは、モバイル・バンキングが年間70%増加している銀行もあると報告しています。NSSラボの最新レポートでは、モバイル・バンキングが年間70%増加している銀行もあると報告しています。
Praetorian社の創設者兼最高経営責任者であるネイサン・スポーツマン氏は、モバイルバンキングアプリのセキュリティ上の欠陥は純粋なソフトウェアの脆弱性ではないため、比較的リスクの低い問題ですが、最終的には攻撃を受ける可能性があると述べています。
スポーツマンは、「これらはビジネスロジックやアプリ固有の問題ではなく、モバイルアプリ全体の問題であり、開発者が対処すべきなのに対処していない問題であり、アップルやグーグルのアプリショップを通じてダウンロード可能な問題です。
研究者がテストした脆弱性は、ソフトウェアに搭載されている有名な緩和機能であり、テストはバックエンドのウェブサーバーやサービスではなく、各ローカルデバイスのモバイルアプリ上で実行されました。スポーツマンは、モバイルバンキングの75~90%はバックエンドで発生するため、このテストはモバイルバンキング全体の攻撃状況のスナップショットに過ぎないと述べています。
Praetorian社は、新しいモバイル・アプリケーション・セキュリティ・テスト・プラットフォームであるProject Neptuneを使用して、このテストを実施しました。最初のテストでは、iOSベースのモバイルバンキングアプリの多くで、メモリ管理機能である自動参照カウントが有効になっていないこと、バッファオーバーフローを防止するための「場所を特定しない実行ファイル」、「スタッククラッシュ」からアプリを保護するための「スタック保護」が有効になっていないことが判明しました。".
スポーツマンによれば、「スタックの断片化とASLR(Address Space Layout Randomisation)は以前から存在しており、これらのアプリケーションではこの保護を有効にする必要があります」。
Androidベースのモバイルバンキングアプリの多くは、古いバージョンのAndroid SDKをターゲットにしており、パーミッションのハードニングが行われておらず、デバッグ機能が有効になっていることが判明しました。開発者にとって、古いSDKのターゲットとデバッグ機能は最大の懸念事項です。
当然のことながら、大手金融機関は信用組合や地方銀行よりも良好なパフォーマンスを示していますが、その差は軽微なものではありません。信用組合のアプリには108件のコンフィギュレーションの脆弱性があり、地方銀行は97件、大手金融機関は75件となっています。
これらのアプリケーションに設定の問題があるのはなぜですか?全体的に、金融サービス業界では、モバイル・バンキングは「市場投入を急ぐ」というプレッシャーにさらされており、それが脆弱性につながる可能性があります。また、地方銀行や信用組合は、このアプリケーション開発を外注することがよくあります。
一方、NSS Labsのケン・ベイラー氏は、多くのモバイルバンキングアプリは基本的なセキュリティしか備えていないと指摘します。「ほとんどの銀行は、スマートフォンのHTTPテーブルヘッダを検出することで、単にモバイルサイトにリダイレクトするモバイルサービスを提供し始めています。他の銀行は、より優れたMLラッパーでモバイルアプリを作成し、より良いユーザー体験とより多くの機能を提供しています。今のところ、各プラットフォーム向けにセキュアなネイティブアプリを構築している銀行はわずかです。"
携帯電話向けアプリの多くは簡素化されたHTMLコードをベースにしているため、攻撃に対して脆弱です。このため、暗号化やジオロケーションなどのセキュリティ機能を追加した携帯電話向けネイティブアプリを開発する銀行が増えるはずです。
