
Ariel Sanchez ที่ปรึกษาด้านความปลอดภัยจาก IOActive ได้ทำการวิจัยเรื่องความปลอดภัยของแอพกลุ่ม Mobile Banking บน iOS Device ที่เคยมีการทำขึ้นไปแล้วครั้งหนึ่งเมื่อปี 2013 และพบว่าถึงแม้ผลการวิจัยครั้งนี้จะชี้ว่า Mobile Banking App จะมีความปลอดภัยมากขึ้น แต่ก็ยังไม่ปลอดภัยเพียงพอ และตรวจพบช่องโหว่อยู่ดี
การวิจัยครั้งนี้ครอบคลุมแอพ Mobile Banking จำนวน 40 แอพจากธนาคารทั่วโลกโดยไม่มีการเปิดเผยชื่อแอพ และทำการทดสอบเพียงเฉพาะ Client Side gท่านั้น โดยไม่ได้ไปทดสอบฝั่ง Server Side แต่อย่างใด โดยมีผลการทดสอบดังนี้
- 5 แอพจาก 40 แอพนั้นไม่ได้ทำการ Validate SSL ทำให้สามารถถูกโจมตีแบบ Man-in-the-Middle ได้
- 35% ของแอพที่ทำการสำรวจมีการเรียกใช้งาน URL ที่ไม่มีการเข้ารหัสด้วย SSL ทำให้มีความเสี่ยงต่อการถูกดังฟังหรือการ Inject โค้ดที่เป็นช่องโหว่ด้วย Javascript/HTML เพื่อส่งหน้า Login ปลอมหรือข้อมูลหลอกลวงได้
- 30% ของแอพที่ทำการสำรวจไม่มีการ Validate ข้อมูลที่ได้รับมา ทำให้สามารถทำ Javascript Injection ได้
- 15% ของแอพที่ทำการสำรวจ ไม่มีการเข้ารหัสไฟล์ที่จัดเก็บข้อมูลที่เป็นความลับ เช่น เลขบัญชีของผู้ใช้งานและประวัติการทำธุรกรรมต่างๆ ทั้งข้อมูลที่จัดเก็บใน sqlite และ plaintext file
- มีเพียง 17 แอพจาก 40 แอพเท่านั้นที่รองรับการยืนยันตัวตนด้วยวิธีการอื่นๆ ที่ปลอดภัยขึ้น นอกเหนือจากการใช้เพียง Username และ Password
เรื่องความปลอดภัยบน Mobile Banking นี้คงเป็นอีกโจทย์ใหญ่ที่ธนาคารต่างๆ ควรจะต้องให้ความสำคัญกันจริงจังไม่แพ้การทำตลาดดึงดูดให้คนมาใช้กันแล้วครับ
ที่มา: http://www.theregister.co.uk/2015/12/18/ios_banking_app_audit/