تطبيقات الأجهزة المحمولة للبنوك يمكن أن تسرّب البيانات المالية الخاصة للأشخاص
في حين أن عام 2020 يمكن أن يطلق عليه ما يبرره “عام التطبيق المصرفي”، فإن الصورة ليست وردية بالكامل. وهذا الاتجاه يجلب معه التزامات متزايدة للمؤسسات المالية للحفاظ على سيطرة وثيقة على تطوير تطبيقاتها وصيانتها ولمساعدة المستهلكين على حماية أنفسهم.
ارتفعت عمليات تثبيت التطبيقات المالية على الأجهزة المحمولة بنسبة 15٪ في عام 2020 حيث احتاج المزيد من المستهلكين إلى وسائل بعيدة للتعامل مع خدماتهم المصرفية، كما تم تتبعه في دراسة أجراها Liftoff و App Annie. على الصعيد العالمي، ثبَّت الناس 4.6 مليار تطبيق مالي وقضوا 16.3 مليار ساعة في استخدامها، بزيادة قدرها 45٪ عن عام 2019.
لقد كان عامًا استثنائيًا لتطبيق الخدمات المصرفية عبر الهاتف المحمول، حيث قام كل هؤلاء المستخدمين بتنزيل واستكشاف هذه البرامج، والعديد منها لأول مرة. يأتي مع هذا النمو تحذيرًا مهمًا:
ما لم يكن يعرفه العديد من المستخدمين الجدد وذوي الخبرة على الأرجح هو أنهم ربما قاموا أيضًا بتنزيل أنواع متعددة من التعرض للمتسللين وغيرهم ممن يمكنهم استغلال الثغرات الأمنية في مكونات التطبيق.
قام مركز سينوبسيس لأبحاث الأمن السيبراني بتقييم أكثر من 3000 تطبيق من أشهر تطبيقات Android حسب تصنيف Google Play ، بما في ذلك 107 تطبيقًا مصرفيًا. جاءت التطبيقات من جميع أنحاء العالم. تم إجراء التحليل باستخدام برنامج الأمان Black Duck المصمم لاكتشاف نقاط الضعف.
ما يقرب من تسعة من كل عشرة لديهم مشاكل محتملة
من بين 107 تطبيقًا مصرفيًا، احتوى 88٪ على شكل من أشكال الثغرات المعروفة، مقابل 63٪ في المتوسط بين جميع فئات التطبيقات. في المتوسط ، احتوت التطبيقات المصرفية على 55 نقطة ضعف لكل منها. “تتطلب التطبيقات المالية بعض البيانات الأكثر حساسية على المستوى الشخصي، مما يجعل هذه الأرقام مقلقة بسبب التأثير المحتمل لخرق أمني”، جاء في تقرير الشركة.
في الواقع، أظهرت التطبيقات المصرفية – بما في ذلك تلك الخاصة بالبنوك والشركات المالية وأنواع الشركات ذات الصلة – ثالث أعلى مستوى من التعرض المحتمل لفقدان المعلومات الشخصية أو عمليات التسلل الأخرى، وفقًا لتحليل الشركة. جاءت فئتان فقط من تطبيقات الألعاب في مقدمة التطبيقات المصرفية، والتي أعقبتها مباشرة تطبيقات الميزانية والدفع.
بحث التحليل عن ثلاث مجالات رئيسية للتعرض المحتمل للتطبيق:
- الثغرات الأمنية في البرامج “مفتوحة المصدر” المستخدمة على نطاق واسع من قبل مطوري التطبيقات. وجد التحليل أن 98٪ من آلاف التطبيقات التي تم فحصها تحتوي على بعض البرامج مفتوحة المصدر. هذا برنامج يمكن ترخيصه علنًا ودمجه في برامج أخرى، مثل التطبيقات.
- الحالات المحتملة لتسرب المعلومات الناتج عن ترك مطوري التطبيقات عن غير قصد بيانات حساسة مثل كلمات المرور أو المفاتيح مكشوفة في التطبيقات عند إصدارها.
- أذونات الهاتف المحمول – عندما يطلب أحد التطبيقات من المستخدم السماح له بالاستفادة من وظائف الجهاز المحمول المختلفة مثل الكاميرا أو خدمات الموقع – قد يتجاوز ذلك ما هو مطلوب أو قد يعرض البيانات الشخصية للخطر.
“بالنسبة للمستهلكين، يسلط هذا التقرير الضوء على الواقع المزعج المتمثل في أنه حتى تطبيقات الأجهزة المحمولة الأكثر شيوعًا ليست محصنة ضد نقاط ضعف الأمان والخصوصية ولا ينبغي الوثوق بها ضمنيًا. بالنسبة لمطوري التطبيقات، يؤكد هذا على الحاجة الملحة لممارسات تطوير البرامج الآمنة وتحسين الخصوصية بشكل عام ونظافة الأمان “.
– من “خطر في جائحة: حالة أمان تطبيقات الهاتف المحمول”
يتناقض هذا مع الطريقة المبهجة التي يقوم بها معظم الأشخاص بتنزيل التطبيقات لجميع أنواع الأسباب دون التفكير في أي عواقب محتملة. قام Synopsys بتقييم تطبيقات Android لأنه يمكن تنزيلها بطريقة تسمح بالتحليل قطعة قطعة ومن النهاية إلى النهاية، وفقًا لتيم ماكي، محلل إستراتيجي للأمان الرئيسي. يوضح أن التطبيقات التي يتم تنزيلها من متجر Apple مشفرة ولا يمكن تحليلها بهذه الطريقة، على الرغم من أن نقاط الضعف يمكن أن تكون متشابهة.
فهم مصادر نقاط الضعف في التطبيقات المصرفية
لا يعني التعرض المحتمل للتطبيقات المصرفية التي تواجهها التطبيقات المصرفية حدوث تسريبات كبيرة، ولكن يمكن أن تحدث فقط، خاصة إذا لم يلتزم مقدمو الخدمات المالية والمستهلكون بالحذر المناسب وأفضل الممارسات.
الخطر موجود هناك. في تقرير الاحتيال ربع السنوي الصادر في مارس 2021، أفاد RSA Security أنه عبر الويب ومتصفح الهاتف المحمول وتطبيق الهاتف المحمول، شكلت التطبيقات 44٪ من عمليات الاحتيال في الربع الأخير من عام 2020، وهي الحصة الأكبر، في أعقاب الاستخدام المتزايد للتطبيقات أثناء الوباء. (تشمل أرقام RSA الاحتيال المارقة في التطبيقات، عندما ينشر المجرمون تطبيقات زائفة لخداع الناس لتحميلها. يمكنهم بعد ذلك سرقة بطاقة الائتمان وغيرها من البيانات الحساسة).
لتوضيح عدد المخاطر التي تنشأ، في مقابلة مع The Financial Brand ، يوضح ما كي أن الأيام قد ولت منذ فترة طويلة عندما تم تطوير كل شيء في حزمة البرامج بالكامل من قبل المنظمة التي أصدرت المنتج النهائي.
يوضح ماكي: “هناك المزيد من تأثير سلسلة التوريد اليوم”. “تأتي المكونات من مكتبات الشفرات التي ألفها شخص آخر أو حتى مجموعة من شخص آخر.” عادةً ما يتم إنشاء هذه المكتبات على برامج مفتوحة المصدر، ومرخصة والتي تحتوي عادةً على نقاط ضعف يتم إصلاحها بمجرد اكتشافها.
يتابع ماكي: “أنت لا تريد أن يقوم شخص ما بإعادة اختراع العجلة أكثر مما تريد”. “عندما يتعلق الأمر بالأمور المتعلقة بالأمان، فلن تجد مطور البرامج العادي على دراية جيدة بأمور مثل التشفير والتشفير. سيستخدمون مكتبة تابعة لجهة خارجية أنتجها فريق يفهم الأمان جيدًا. وكون البرنامج برمجيات، فإنهم يرتكبون أخطاء من وقت لآخر ولذا يصدرون تصحيحات “.
التسريبات في خط أنابيب التصحيح
إحدى الثغرات في التطبيقات هي عملية التصحيح: التأكد من أن التصحيحات تصل من المطورين الأصليين إلى المطورين في المؤسسات المالية الذين يجمعون العديد من البرامج معًا في التطبيقات ثم إلى App Store أو Google Play وأخيراً للمستهلكين. من الناحية المثالية، تم تصحيح التنزيلات الجديدة وتحديثها ويسمح المستهلكون بشكل روتيني بتحديث التطبيقات الموجودة على هواتفهم أو أجهزتهم اللوحية عندما يتلقون إشعارًا بتوفر التصحيح.
يحب ماكي استخدام تشبيه تصنيع السيارات، حيث يتم التعاقد من الباطن على العديد من المكونات وتجميعها في المصنع لإنتاج السيارة. بتوسيع تشبيهه، فإن البقع تشبه عمليات الاسترجاع.
تحتوي التطبيقات المصرفية على العديد من الوظائف التي قد تتطلب التفاعل مع مؤسسات أخرى ومع وظائف متعددة على الجهاز المحمول. تصوير شيك، والدفع عبر Zelle أو Venmo أو PayPal والمزيد من البرامج المطلوبة التي قد تأتي في البداية من الخارج.
إذا فشلت المؤسسات المالية في الاهتمام بإشعارات الأمن أو الأداء أو الاستقرار، فإنه يتابع، عندها يمكن أن يحدث تسرب للبيانات. إذا قام المستخدم النهائي للتطبيق بتعطيل التحديث، فإنه يعرض نفسه للمخاطر. يقول ماكي إنه يتلقى ست تحديثات كل مساء من جميع التطبيقات التي لديه على هاتفه المحمول.
الفكر الجاد:
وجدت سينوبسيس في تحليلها العام أن 73٪ من الثغرات التي تم تحديدها تم الكشف عنها قبل عامين أو أكثر. وهذا يعني أن “المطورين ببساطة لا يفكرون في أمان المكونات مفتوحة المصدر التي استخدموها لبناء تطبيقاتهم”.
مرة أخرى، إذا تم كسر أي رابط في سلسلة الاتصال، فلن يتم الإصلاح. ويذكر التقرير أنه “كلما طالت فترة بقاء الثغرة دون معالجة، زاد احتمال استغلالها، وزادت صعوبة إجراء الإصلاح”.
النظر في الأذونات التي تطلبها التطبيقات
هناك نقاط ضعف أخرى، مثل الاتصالات بين التطبيق وخوادم المؤسسة المالية التي قد لا تكون آمنة تمامًا. كان أحد الأسباب الرئيسية التي نظر إليها التقرير هو الأذونات التي تطلبها التطبيقات الشرعية للوصول إلى الوظائف أو البيانات داخل الجهاز.
التطبيقات ذات الصلة مالياً عالية بشكل خاص في الأذونات المطلوبة مقارنة بأنواع التطبيقات الأخرى. يبلغ متوسط التطبيقات المصرفية 25 إذنًا، وتطبيقات الدفع 25 أيضًا، وتطبيقات الميزانية 26 إذنًا، وفقًا لتحليل سينوبسيس.
المسؤولية مزدوجة، وفقا لسينوبسيس. يحتاج المطورون إلى توضيح الأذونات التي تطلبها المكونات التي يستخدمونها لإنشاء تطبيقاتهم. ويجب أن يكون المستهلكون على دراية تامة بالأذونات التي يمنحونها عندما تطلبهم التطبيقات – وأن يفكروا بجدية فيما إذا كان ينبغي عليهم الموافقة.
يقول ماكي: “تعتبر بعض الأذونات أكثر حساسية”. “بعد الوصول إلى هاتفك أو رسائلك النصية، تعد الكاميرا ومعلومات موقعك مجموعات حساسة جدًا من الأذونات التي لا تريد منحها لأي تطبيق فقط.”
يقول ماكي إن المستهلكين يجب أن يثيروا اعتراضات عندما يتم طلب الكثير من الأذونات: “يجب أن يتفاعلوا مع مؤسستهم ويقولون،” لقد حاولت تنزيل تطبيقك وطلب قدرًا كبيرًا من الأشياء. هذا ليس له أي معنى بالنسبة لي. ما يعطي؟’ وقد يتضح أن التنزيل الذي حصل عليه المستخدم النهائي لم يكن في الواقع التطبيق الرسمي، ولكنه مزيف بدا كما هو “.
المصدر: thefinancialbrand
شاهد المزيد:
