r   e   k   l   a   m   a
r   e   k   l   a   m   a

Jak się człowiek spieszy… Eksperci ostrzegają przed dużą liczbą błędów w aplikacjach bankowych

Strona główna AktualnościOPROGRAMOWANIE

Nie ma dziś chyba większego banku, który swoim klientom nie oferowałby aplikacji na smartfony i tablety. Oprogramowanie to ma ułatwić korzystanie z elektronicznej bankowości, sprawić, byśmy mieli pełną kontrolę nad naszymi kontami z dowolnego miejsca. Według banków ujemnych stron po prostu tu nie ma. Według specjalistów od bezpieczeństwa z firmy CAST, stosując mobilne aplikacje bankowe narażamy się na niemałe ryzyko – i to przede wszystkim ze względu na niską jakość tworzonego przez korporacyjnych programistów kodu.

Trzeba od razu postawić sprawę jasno: przygotowany przez CAST raport nie jest bezstronny. Firma utrzymuje się przede wszystkim ze sprzedaży narzędzi programistycznych, służących do wykrywania rozmaitych błędów w kodzie, które mogliby wykorzystać do swoich celów hakerzy. Nie oznacza to jednak, że przedstawione dane, jak i wyciągnięte na ich podstawie wnioski, są nieprawdziwe czy nieistotne.

Po analizie 1316 korporacyjnych aplikacji mobilnych – łącznie 705 milionów linii kodu – okazać się miało, że odpowiednio 70% i 69% aplikacji należących do kategorii bankowość indywidualna i usługi finansowe podatna jest na ataki pozwalające na pozyskanie wrażliwych danych użytkowników. Sektor bankowy może się „pochwalić” też najgorszej jakości kodem. Choć aplikacje tego typu nie są jakoś szczególnie złożone, są średnio o połowę krótsze od największej z przebadanych aplikacji, to jak twierdzą analitycy CAST, jest w nich najwięcej błędów walidacji danych wejściowych.

r   e   k   l   a   m   a

Co ciekawe, bardzo dobrze na tym tle wychodzą aplikacje pisane za pieniądze podatnika. 61% programów stworzonych przez pracujących dla rządu programistów było wolnych od usterek, tymczasem wśród aplikacji stworzonych przez niezależnych producentów oprogramowania odsetek ten wyniósł 12%.

Wyjaśnienie takiego stanu rzeczy, jest według Leva Lesokhina, wiceprezesa CAST, całkiem proste. Tak długo, jak działy IT będą poświęcały jakość kodu i bezpieczeństwo na rzecz dotrzymania nierealistycznych terminów, możemy się spodziewać kolejnych, zakrojonych na wielką skalę ataków, prowadzących do pozyskania i wykorzystania wrażliwych danych klientów – twierdzi ekspert. Konsekwencje błędów w kodzie stają się po prostu coraz bardziej namacalne, o czym mogliśmy się przekonać choćby w kwietniu tego roku, gdy okazało się, że drobny błąd w bibliotece OpenSSL, wykorzystywanej masowo do szyfrowania danych w Internecie, pozwala na łatwe odczytywanie pamięci atakowanych komputerów.

Wydaje się, że bez specjalistycznych narzędzi trudno będzie sobie poradzić z takimi błędami – ludzkie oczy mogą już nie wystarczyć. Nawet tak lubiane przez fanów wolnego oprogramowania Prawo Linusa, mówiące że jeśli mamy wystarczająco wiele oczu, to wszystkie błędy są powierzchowne nie zawsze się sprawdza – niedawno odkryty przez członków google'owego zespołu Project Zero groźny (choć trywialny) błąd w standardowej bibliotece C Linuksa znalazł się przecież w kodzie oglądanym wielokrotnie przez wybitnych programistów. Czego więc można się dopiero spodziewać w oprogramowaniu zamkniętym, sprawdzanym przez kilku korporacyjnych testerów, nudzących się w pracy między 9 a 17?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.