07.12.2016, 09:04
Dwa interesujące raporty z ostatnich badań przeprowadzonych w naszych rodzimych warunkach...wnioski są nieco porażające, co wcale nie jest chyba zaskoczeniem...niestety.
Pierwszy z nich to "Bezpieczeństwo i biometria urządzeń mobilnych w Polsce. Badania użytkowników 2016" opracowany przez Zespół badawczy Design Thinking – Biometry związany z Politechnika Wrocławską.
Kolejny raport...sprzed miesiąca...to "Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce" autorstwa badaczy z PGS Software.
Pierwszy z nich to "Bezpieczeństwo i biometria urządzeń mobilnych w Polsce. Badania użytkowników 2016" opracowany przez Zespół badawczy Design Thinking – Biometry związany z Politechnika Wrocławską.
Cytat:Edukacja użytkownika jest jednym z ważniejszych elementów wdrażania nowych produktów i usług na rynek. Niejednokrotnie wymaga ona olbrzymich nakładów zarówno finansowych jak i organizacyjnych. Przeprowadzone badania wykazały jednoznacznie, że w obszarze technologii mobilnych, a w szczególności w aspekcie ichCałość raportu
bezpieczeństwa istnieje olbrzymia luka świadomościowa użytkowników.
Podczas przeprowadzania badań można zauważyć wiele poziomów świadomości korzystania z urządzeń mobilnych, a co za tym idzie zróżnicowanej wiedzy z zakresu funkcjonalności czy bezpieczeństwa użytkowania smartfonów i tabletów. W trakcie wywiadów badacze mieli okazję rozmawiać z ludźmi, którzy nie potrafili korzystać z funkcji, jakie
dają smartfony, poza tymi najbardziej podstawowymi, w ogóle nie utożsamiali się w jakikolwiek sposób z zagrożeniami
względem użytkowania tzw. „mobile devices”. Jednocześnie grupa badawcza rozmawiała również z osobami o średniej, dużej oraz bardzo dużej świadomości użytkowania tychże urządzeń. Niestety takie osoby stanowiły mniejszość próby badawczej. Przeprowadzone badania wykazały brak podstawowej edukacji w zakresie bezpieczeństwa i prywatności danych na urządzeniach mobilnych oraz świadomości zagrożeń płynących z ryzykownych zachowań.
Respondenci nie odczuwali również potrzeby autoryzacji w dostępach do poszczególnych aplikacji czy programów. Z drugiej strony, można było jednak zauważyć otwarte postawy użytkowników, którzy chętnie nabyliby taką wiedzę, jednak okazało się, że potrzebują do tego swojego rodzaju „autorytetu” – kogoś, kto w sposób jasny i klarowny wytłumaczy i przedstawi różne funkcjonalności telefonu, aplikacji, czy w końcu istoty systemów zabezpieczeń. W takim przypadku jest bardzo prawdopodobnym, że użytkownicy tacy zaczęliby najpierw testować, a potem korzystać z poszerzonych funkcjonalności telefonu, nieodkrytych przez nich do tej pory.
Przy omawianiu wyników badań okazało się również, że większość udzielających wywiadu korzysta z domyślnych funkcji zabezpieczeń telefonu i nie myśli o tym, by je zmienić i dostosować do swoich potrzeb. Odpowiednia edukacja w tym zakresie mogłaby przynieść odpowiednie rezultaty.
[Aby zobaczyć linki, zarejestruj się tutaj]
Kolejny raport...sprzed miesiąca...to "Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce" autorstwa badaczy z PGS Software.
Cytat:Dzisiaj udostępniamy szczegółowy raport pod tytułem „Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce”, stworzony na podstawie testu, który objął aż 18 produktów największych banków detalicznych: PKO BP, Pekao SA, Banku Zachodniego WBK, mBanku, ING Banku Śląskiego, Getin Noble Banku, Banku Millenium, Idea Banku, Alior Banku – i innych.Źródło cytatu
Po zakończeniu badania, wszystkie instytucje zostały powiadomione o wynikach. Zgodnie z zasadami „responsible disclosure”, zapewniliśmy im czas na poprawienie aplikacji. Nie chcieliśmy narażać niewinnych klientów, publikując dane o wciąż istniejących, poważnych słabościach…
Ile ich znaleźliśmy?
Niestety – zbyt wiele, aby zachować spokój ducha przy korzystaniu z „mobile bankingu”.
Niektóre opisane w raporcie problemy będą zrozumiałe głównie dla programistów. Inne są oczywiste dla każdego: jak możliwość wykonania zrzutów ekranu, na których znajdowały się wpisane przez użytkownika dane logowania. Lub aplikacja, która po wywołaniu pewnych funkcji otwierała serwis bankowy w przeglądarce telefonu, przekazując do niej zalogowaną sesję. Przy czym robiła to za pomocą zwykłego, tekstowego linku. Jego „uprowadzenie” pozwalało – bez dalszej weryfikacji – otworzyć panel zarządzania kontem na dowolnym innym komputerze!
Jeśli to wydaje się sporym niedopatrzeniem, co powiedzieć o aplikacji, która zawiera plik z testowymi nazwami i hasłami do logowania na środowisku produkcyjnym? Albo o ignorowaniu fałszywego certyfikatu bezpieczeństwa, dzięki czemu możliwe było przechwytywanie i modyfikowanie całej komunikacji między klientem a bankiem?
Czasem problemem okazywało się nawet odróżnienie prawdziwych aplikacji od niebezpiecznych podróbek w sklepie Google Play!
(...)
Skąd tyle błędów w aplikacjach, które teoretycznie powinny zapewniać szczególne bezpieczeństwo? W niektórych wypadkach zawinili sami programiści (lub podwykonawcy, którymi – jak odkryliśmy – wspierały się bankowe zespoły IT). Czasem wina leżała po stronie kontroli jakości (albo jej braku). Czasem odpowiedzialna była też sama platforma – system Android słynie z fragmentacji; wielu użytkowników korzysta z jego przestarzałych wersji. Aplikacje bankowe powinny bronić się przed znanymi lukami systemu operacyjnego. Niestety, często tego nie robią.
Odnieśliśmy ogólne wrażenie, że w wypadku tej kategorii produktów marketing wyprzedził rzeczywistość. Wiele z nich tworzono w widocznym pośpiechu, często ignorując dobre praktyki software developmentu.
[Aby zobaczyć linki, zarejestruj się tutaj]
Całość raportu[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"