9 августа 2018

Мобильные приложения для трейдеров оказались чувствительны ко взлому

Специалисты компании IOActive, специализирующейся на кибербезопасности, обнаружили, что такие платформы для биржевой торговли, как AvaTrade и IQOption, оказались слабозащищёнными для взлома и увода важных личных данных, включая логины и пароли к аккаунтам. В рамках исследования IOActive протестировали 16 десктопных программ, 34 мобильных приложения и 30 вебсайтов.

Alejandro Hernandez, главный специалист по сетевой безопасности в IOActive, считает, что безопасность трейдинговых приложений находится в зачаточном состоянии и защищённость подавляющего большинства из них сравнима с защищённостью банковских приложений 6-8 лет назад. Причём обнаруженные недостатки — лишь вершина айсберга, и более подробно о найденных уязвимостях и проблемах безопасности Alejandro Hernandez планирует рассказать на Black Hat конференции в Лас-Вегасе.
Однако, кое-какие подробности от IOActive всё же есть: уже известно, что пятая часть всех десктопных и мобильных приложений, включая AvaTrade, IQOption и Markets.com хранили пароли в незашифрованном виде. Узнав пароль, злоумышленник мог получить все права пользователя в трейдинговом приложении. В 25% приложений не был предусмотрен защищённый вход в аккаунт с помощью двухфакторной авторизации. Две трети приложений никак или слабо шифровали передачу данных, а 13 десктопных программ и мобильных приложений хранили незашифрованными торговые данные.
Существуют 3 сценария того, как злоумышленник, получивший доступ к персональным данным игрока биржи, мог бы воспользоваться ими в своих целях:
1) Воровство. Можно просто перевести деньги со взломанного счёта на свой подконтрольный счёт.
2) Шпионаж. Можно невозбранно подглядывать за стратегиями успешных игроков и пользоваться их инсайдами и инсайтами.
3) Дестабилизация рынка. Можно собрать все взломанные аккаунты в некое подобие ботнета и устроить управляемый хаос для всех участников торгов и по ту и по эту сторону экрана.
Отчёт о найденных уязвимостях был разослан компаниям, чьи приложения, программы и вебсайты участвовали в исследовании, и подавляющее большинство «подопытных» уже закрыло найденные уязвимости. Однако, на трейдерском рынке есть и другие участники, не участвовавшие в исследовании, и им точно не помешало бы ознакомится с докладом Alejandro Hernandez на Black Hat конференции в Лас-Вегасе.

 

Мобильный маркетинг от Qmobi: продвижение приложений и Smart-Publishing.

Читайте также другие новости