Letos v lednu Ariel Sanchez, analytik americko-britské IT bezpečnostní firmy IOActive, zveřejnil analýzu čtyřiceti bankovních aplikací určených pro iOS. Ukázalo se, že většina z nich je před kybernetickými hrozbami podstatně zranitelná. 40 % programů nezkontrolovalo autentifikační SSL certifikáty, což je vystavuje riziku útoku skrze prostředníka. Sedm z deseti aplikací navíc nepoužívalo multifaktorovou autentifikaci zvyšující zabezpečení. Snaha bank nalákat klienty na mobilní bankovnictví tak naráží na obavy – podle odhadů až třetina zákazníků kvůli pochybnostem o bezpečnost mobilní transakce vůbec nevyužívá.

Firmy, které nabízejí bezpečnostní řešení v kybernetickém prostoru, proto musí začít vyvíjet řešení, které zabezpečí online platby na několika úrovních, tedy jak u samotného uživatele, tak na straně bank a společností zabývajících se online platbami.

Na první úrovni zabezpečení je třeba myslet na co nejširší okruh uživatelů. Bezpečné aplikace by přitom měly fungovat nejenom na Androidech, ale i na platformách iOS nebo Windows Phone, a to na všech používaných verzích a zároveň ve všech fázích interakce mezi přístrojem a peněžní službou. To zahrnuje nástroje k ochraně síťového připojení, bankovních textových zpráv, k detekci modifikace firmwaru či potenciálně nebezpečných nebo podezřelých aplikací.

Na druhé úrovni už jde v zabezpečení aplikací o konkrétní nástroje. Jedním z důležitých hledisek ochrany je kontrola DNS. Je zapotřebí, aby aplikace rozpoznala, zda jméno domény odpovídá důvěryhodné IP adrese banky. Kromě ní je třeba myslet na nástroje, které ověří důvěryhodnost URL banky. Často mohou být propojené s cloudovými databázemi a službami, aby měly co nejaktuálnější seznam nebezpečných aktérů v kybernetickém prostoru. Bankovní aplikace musí umět potvrdit pravost digitálních certifikátů, samozřejmě obsahovat antimalwarovou ochranu zjišťující mimo jiné i přítomnost škodlivých kódů na webové stránce (chrání zejména před phishingem). Užitečná je také například zabezpečená klávesnice zabraňující keyloggingu, možnost vytvoření bezpečného úložiště v samotném zařízení, které je navíc opatřeno šifrovacími nástrojem, nebo zabezpečené zasílání bankovních SMS.

Další vrstvou ochrany pak jistíme činnost samotných uživatelů. Ne všechna bezpečnostní rizika totiž pocházejí z venku. Mezi ta interní patří například dobrovolné riskantní modifikace operačního systému pomocí rootování v případě Androidu nebo jailbreaku v případě iOS. Díky nim mohou hlavně majitelé produktů Apple instalovat aplikace třetích stran odjinud, než jen z App Store. Jenže právě ty často obsahují malware. Moderní bezpečnostní řešení by takové modifikace mělo umět vyhodnotit a zjistit, zda na pozadí neprovádí podezřelé operace. Není snad ani třeba zmiňovat nebezpečí plynoucí ze zastaralého nebo zranitelného softwaru. Zde opět pomáhají cloudové databáze informací o malwaru, které mohou zajistit ochranu takových zařízení i proti těm nejnovějším hrozbám.

Tichá voda břehy mele

Vývojáři aplikací by neměli zapomínat ani na konfiguraci bezpečnostních pravidel dle aktuálních potřeb. Například by mělo být možné znemožnit určité operace v případě, že je na přístroji nainstalován podezřelý, neoficiální nebo zastaralý firmware. Podezřelé ještě nemusí znamenat automaticky škodlivé. Nicméně může jít o programy, které představují riziko úniku citlivých uživatelských údajů, třeba proto, že pořizují screenshoty displeje, posílají samy textové zprávy, apod. Bankovní či platební aplikace a jejich zabezpečení by nakonec neměly opomíjet nezabezpečené Wi-Fi připojení. Kybernetickým zločincům nedělá problém se do takových sítí napojit a odezírat činnost nic netušících uživatelů v okolí. Pokud takové připojení neposkytuje šifrovanou komunikaci, bezpečnostní nástroj by měl dočasně znemožnit připojení třeba k online bankovnictví. Navíc by mohl uživateli nabídnout zaslání anonymního údaje do cloudové databáze a přispění k hodnocení reputace daného připojení.

Kamilo Tomáš eCommerce Manager CEE, Kaspersky Lab