Какие существуют виды атак на мобильные банковские клиенты?

Question

[Macbet]

Здравствуйте, появилась задачА провести тестирование мобильного банковского приложения, я qa инженер с опытом но до этого тестировал простые мобильные приложения и web-сайты, подскажите пожалуйста какую документация почитать в данном направлении и вообще какой существует спектр атак на мобильные банки? ( язык документации английский/русский)

Comments

[sim3x]

https://habrahabr.ru/hub/infosecurity/
Справа есть блок с людьми и компаниями - постучись в личку к людям, там тебя направят, что почитать

Answer 1

[Иван]

Полностью обезопасить мобильный клиент вы не сможете (если он под андроид).
Вон, у сбербанка сдк касперского встроен был защитный и это не помогло :)
Если захотят достать - достанут что угодно (сейчас есть пакеты которые рутуют телефон и от этого уже будет никак не защититься), механизмы защиты отреверзят и дешфируют ключи. Смс проверка тоже обойдется.
Также возможен фишинг поверх приложения банка при запуске его пользователем (детект по имени пакета).
Возможен фишинг через accessibility service.

Или вас интересует что-то совсем конкретное?

Comments

[Macbet]

понятно что не существует 100% защиты, мне просто интересны "базовые" методы по которым можно проверить уязвимость приложения

[Иван]

Macbet: я обычно это делаю методом декомплиирования его в исходный код и нахождением слабых мест. Разбираю алгоритмы шифровки апи ключей, где они хранятся, как, как потверждаются.

Остальные векторы атаки, чаще всего, направлены через соц инженерию (фишинг поверх вашего приложения) либо просто напросто имитацию отправки смс и нажатии кнопок при выключенном экране с помощью shell скрипта.

[Иван]

Macbet:
из совсем базового:
- если ваше приложение работает с смс - у него должен-быть макс инт приоритет на получение смс, иначе их могут перехватить до него
- лучше добавить детект на рутованность устройства и сразу предупреждать пользователя, что он, возможно скомпроментирован (будь я параноиком я бы еще и удалял свое приложение в таком случае, чтобы обезопасить от атаки, или тер бы все ключи сессии)
- хранить ключ хотя-бы под примитивным юзерским пин-кодом (чтобы пришлось поиспользовать брут взломщикам на телефоне, что даст немного времени) либо в аккаунт менеджере либо в sqlcipher.
- также, если согласуется с парадигмой - можно просить девайс админа и детектить запуски каких-либо активити и форм поверх вашего приложения
это так, что пришло в голову, если интересует что-то совсем специфическое, то может мне написать в вк (аккаунт с таким же ником), либо на почту purlats.i@gmail.com

[Macbet]

Иван: Спасибо большое, вектор изучения вы мне задали)