Jak się człowiek spieszy… Eksperci ostrzegają przed dużą liczbą błędów w aplikacjach bankowych

Nie ma dziś chyba większego banku, który swoim klientom nieoferowałby aplikacji na smartfony i tablety. Oprogramowanie to maułatwić korzystanie z elektronicznej bankowości, sprawić, byśmymieli pełną kontrolę nad naszymi kontami z dowolnego miejsca.Według banków ujemnych stron po prostu tu nie ma. Wedługspecjalistów od bezpieczeństwa z firmy CAST, stosując mobilneaplikacje bankowe narażamy się na niemałe ryzyko – i to przedewszystkim ze względu na niską jakość tworzonego przezkorporacyjnych programistów kodu.

Trzeba od razu postawić sprawę jasno: przygotowany przez CASTraport nie jest bezstronny. Firma utrzymuje się przede wszystkim zesprzedaży narzędzi programistycznych, służących do wykrywaniarozmaitych błędów w kodzie, które mogliby wykorzystać do swoichcelów hakerzy. Nie oznacza to jednak, że przedstawione dane, jaki wyciągnięte na ich podstawie wnioski, są nieprawdziwe czynieistotne.

Po analizie 1316 korporacyjnych aplikacji mobilnych – łącznie705 milionów linii kodu – okazać się miało, że odpowiednio 70%i 69% aplikacji należących do kategorii bankowość indywidualna iusługi finansowe podatna jest na ataki pozwalające na pozyskaniewrażliwych danych użytkowników. Sektor bankowy może się„pochwalić” też najgorszej jakości kodem. Choć aplikacje tegotypu nie są jakoś szczególnie złożone, są średnio o połowękrótsze od największej z przebadanych aplikacji, to jak twierdząanalitycy CAST, jest w nich najwięcej błędów walidacji danychwejściowych.

Co ciekawe, bardzo dobrze na tym tle wychodzą aplikacje pisane zapieniądze podatnika. 61% programów stworzonych przez pracującychdla rządu programistów było wolnych od usterek, tymczasem wśródaplikacji stworzonych przez niezależnych producentów oprogramowaniaodsetek ten wyniósł 12%.

Wyjaśnienie takiego stanu rzeczy, jest według Leva Lesokhina,wiceprezesa CAST, całkiem proste. *Tak długo, jak działy IT będąpoświęcały jakość kodu i bezpieczeństwo na rzecz dotrzymanianierealistycznych terminów, możemy się spodziewać kolejnych,zakrojonych na wielką skalę ataków, prowadzących do pozyskania iwykorzystania wrażliwych danych klientów *–twierdzi ekspert. Konsekwencje błędów w kodzie stają się poprostu coraz bardziej namacalne, o czym mogliśmy się przekonaćchoćby w kwietniu tego roku, gdy okazało się, że drobnybłąd w bibliotece OpenSSL, wykorzystywanej masowo doszyfrowania danych w Internecie, pozwala na łatwe odczytywaniepamięci atakowanych komputerów.

Wydaje się, że bezspecjalistycznych narzędzi trudno będzie sobie poradzić z takimibłędami – ludzkie oczy mogą już nie wystarczyć. Nawet taklubiane przez fanów wolnego oprogramowania Prawo Linusa, mówiąceże *jeśli mamy wystarczająco wiele oczu, to wszystkiebłędy są powierzchowne *niezawsze się sprawdza – niedawno odkryty przez członkówgoogle'owego zespołu Project Zero groźny (choć trywialny) błąd wstandardowej bibliotece C Linuksa znalazł się przecież w kodzieoglądanym wielokrotnie przez wybitnych programistów. Czego więcmożna się dopiero spodziewać w oprogramowaniu zamkniętym,sprawdzanym przez kilku korporacyjnych testerów, nudzących się wpracy między 9 a 17?