Анализ защищенности выполнялся для пяти приложений «Тинькофф», в том числе системы дистанционного банковского облуживания, мобильных банков (для iOS, Android и Windows Phone). Эксперты Positive Technologies во всех случаях проводили полный анализ клиентских и серверных частей приложений с проверкой исходного кода. Исследовались еще не опубликованные версии приложений для физических лиц.
Мобильный и интернет-банки «Тинькофф» несколько лет подряд[1] признавались лучшими в России. К весне 2020 года мобильное приложение «Тинькофф» было установлено свыше 20 млн раз, количество активных пользователей в месяц в среднем составляет 5,6 млн, в день — 1,8 млн.
Работы по анализу защищенности стали одним из элементов выстроенного в банке процесса безопасной разработки всех приложений и включили в себя два этапа общей продолжительностью в полтора месяца. На первом этапе эксперты Positive Technologies исследовали защищенность предрелизной версии серверной части ДБО, а на втором ― защищенность соответствующих клиентских частей ДБО (мобильных банков для различных платформ). В ходе аудита был выявлен ряд уязвимостей различного уровня риска, которые были устранены командой разработки «Тинькофф», после чего приложения прошли повторный аудит. Все работы выполнялись на еще не доступных клиентам банка версиях приложений. Анализ защищенности всех приложений до выпуска их продуктивных версий позволяет банку максимально обезопасить своих клиентов от потенциальных атак и минимизировать возможности злоумышленника. Кроме того, такой подход соответствует лучшим мировым практикам безопасной разработки.
«Добавление новых функций не только повышает возможности приложений, но и несет почти неизбежный риск внесения ошибок. Перед выпуском ПО «в продакшн» мы практикуем привлечение наиболее опытных исследовательских команд для обнаружения недостатков безопасности и создания максимально защищенного продукта, — рассказал Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности «Тинькофф». — Этот проект стартовал 6 апреля. В условиях сжатых сроков эксперты Positive Technologies продемонстрировали высокий уровень профессионализма и за месяц провели глубокий анализ защищенности приложений. Через полтора месяца после старта проекта у нас был подробный аналитический отчет с обнаруженными уязвимостями, описанием их возможной эксплуатации и детальными рекомендациями по исправлению. Это позволило быстро внести в код коррективы и не менять планы выпуска приложений».
«Мы сотрудничаем с банком «Тинькофф» уже несколько лет: на нашем счету также выполнение проектов по повышению защищенности банкоматов, мобильных приложений, бизнес-логики обработки транзакций. Отмечу, что специалисты банка крайне внимательно относятся к безопасности, предлагая пользователям многократно перепроверенные и готовые с точки зрения ИБ продукты, что является хорошим примером для всей отрасли», — отметила Юлия Воронова, директор по консалтингу центра компетенции Positive Technologies.
Опыт Positive Technologies в области анализа защищенности мобильных банковских приложений показывает, что чаще всего такие приложения являются уязвимым звеном в процессе дистанционного банковского обслуживания: во всех исследованных в прошлом году мобильных банковских приложениях были выявлены недостатки защищенности. Более того, самые опасные действия (мошеннические операции и кража денежных средств) были возможны в каждом втором мобильном банке.
Для своевременного исправления подобных уязвимостей эксперты Positive Technologies рекомендуют использовать в разработке анализаторы исходного кода, проводить ручной и автоматический анализ защищенности новых приложений и версий перед их публикацией (а в идеале использовать непрерывный анализ защищенности всего бизнеса), а также применять межсетевые экраны уровня приложений, для блокирования атак через веб-уязвимости.
«В последние годы приложения и инфраструктура столь быстро меняются, что концепция классического тестирования на проникновение, который проводят время от времени, перестала по-настоящему защищать. Результаты таких работ быстро теряют актуальность, а компаниям сложно понять из многостраничных отчетов, какие уязвимости влияют на бизнес-процессы в первую очередь, поэтому уязвимости часто так и остаются неисправленными. В этом году мы предложили рынку услугу Pentest 365, рассчитанную на год. Суть ее в том, что эксперты Positive Technologies непрерывно в течение года ведут ручной и инструментальный анализ внешнего периметра компании-заказчика, выявляя наиболее опасные векторы кибератак на компанию и ежемесячно предоставляют отчет о результатах тестирования и рекомендации по устранению выявленных проблем», ― поясняет Юлия Воронова.
*** *** ***
[1] «Тинькофф-банк» четвертый раз подряд возглавил рейтинг банковских приложений, по версии Deloitte: vc.ru/flood/17418-deloitte-tinkoff2016. «Тинькофф» признан безусловным лидером в рейтинге интернет-банков, по версии агентства Markswebb в 2019 году: tinkoff.ru/invest/news/261065/. В Markswebb обновили данные о лучших мобильных приложениях банков для физлиц: banki.ru/news/lenta/?id=10912905.