تسمح ثغرات أمنية ضمن التطبيقات المصرفية المحمولة المخصصة لنظام أندرويد المتوفرة من قبل 30 من مقدمي الخدمات المالية بتعريض المؤسسات والعملاء للخطر، إذ تعرض التطبيقات التعليمات البرمجية المصدرية والبيانات الحساسة، بالإضافة إلى إمكانية الوصول إلى الخدمات الخلفية.
وجاءت هذه النتائج بعد أن قام أحد الباحثين بتنزيل تطبيقات أندرويد المصرفية المختلفة من متجر جوجل بلاي Google Play، ووجد أن الأمر استغرق في المتوسط ثماني دقائق ونصف فقط قبل أن يتمكن من قراءة التعليمات البرمجية المصدرية.
وتم العثور على ثغرات أمنية، بما في ذلك نقص الحماية الثنائية، وتخزين البيانات غير الآمن، وتسرب البيانات غير المقصود، والتشفير الضعيف في تطبيقات الخدمات المصرفية، وبطاقات الائتمان، والهواتف المحمولة.
وتم تفصيل النتائج عبر تقرير صادر عن شركة الأمن السيبراني Arxan بعنوان: “على مرأى من الجميع، وباء وجود ثغرات أمنية في التطبيقات المالية المحمولة”.
وقالت أليسا نايت Alissa Knight، محللة الأمن السيبراني في شركة الأبحاث والاستشارات العالمية Aite Group، والباحثة في الدراسة: “من الواضح أن هناك مشكلة منهجية هنا، إنها ليست مجرد شركة واحدة، إنها 30 شركة، وعبر قطاعات خدمات مالية متعددة”.
موضوعات ذات صلة بما تقرأ الآن:
وتفتقر الغالبية العظمى من التطبيقات (97 في المئة) التي تم اختبارها لحماية التعليمات الثنائية، مما يجعل من الممكن عكس هندسة أو فك تشفير التعليمات البرمجية للتطبيقات، وسماحها بتحليل التعليمات البرمجية المصدرية، والعبث بها.
بينما واجهت نسبة 90 في المئة من التطبيقات التي تم اختبارها تسربًا غير مقصود للبيانات، مما أدى إلى تعريض البيانات من التطبيق المالي لإمكانية الكشف من قبل تطبيقات أخرى على الجهاز.
في حين تبين الدراسة أن 80 في المئة من التطبيقات التي تم اختبارها قد طبقت تقنيات تشفير ضعيفة، مما يسمح للمهاجمين بفك تشفير البيانات الحساسة.
كما أن هناك نقطة ضعف موجودة في 83 في المئة من التطبيقات التي تم اختبارها، والتي تتمثل في تخزين البيانات بشكل غير آمن، وأحيانًا عبر نظام الملفات المحلي للجهاز.
ووجدت أليسا نايت أنه من الممكن استخراج ما يجب أن يكون المفاتيح المخفية لواجهة برمجة التطبيقات، وقالت : “يبدو أن المطورين الذين كتبوا التعليمات البرمجية لم يدركوا أنه من الممكن بالفعل سحب هذه الملفات للخارج، وسحب المفاتيح من الدلائل الفرعية”.
وأوضحت الباحثة أنه إذا تمكن المهاجم من الحصول على هذه المفاتيح فسيكون من الممكن بالنسبة له إعادة تصميم واجهات برمجة التطبيقات بشكل ضار، وتعديل عناوين URL، وتغيير سلوك التطبيق، ومكان إرسال البيانات.
ولم تحدد شركة الأمن السيبراني Arxan أيًا من هذه التطبيقات؛ حتى لا تضيف مخاطر أمنية إضافية، لكنها قالت: إن هذه الهجمات ليست نظرية.