Программы для трейдинга полны уязвимостей

28 сентября 2018 г., пятница

Злоумышленники способны манипулировать курсами валют и похищать данные жертвы, используя баги в биржевых приложениях.

Приложения для торговли ценными бумагами и валютой через Интернет содержат серьезные уязвимости, которые позволяют злоумышленникам манипулировать биржевыми курсами, похищать персональные данные пользователей и перехватывать контроль над целевым устройством. К такому выводу пришли специалисты Positive Technologies, изучившие 14 трейдинговых программ для мобильных устройств и персональных компьютеров, а также 4 веб‑приложения.

Как выяснили исследователи, создатели клиентских терминалов уделяют недостаточно внимания безопасности своих продуктов. Каждое из проверенных экспертами приложений содержало хотя бы одну уязвимость, а в 72% программ баги оказались критическими. Большинство систем допускают кражу учетных данных, треть рассмотренных разработок позволяют без ведома пользователя совершать операции от его имени, а 17% — подтасовывать информацию о ценах.

Из трех программ для ПК, проанализированных экспертами, две позволяли злоумышленникам выполнять сторонний код на компьютере жертвы. В одном из случаев мошенники могли подменить обновление, запрашиваемое приложением на сервере поддержки. Данные передавались в незашифрованном виде и были уязвимы для атаки «человек посередине».

Еще одна разработка позволяла киберпреступникам манипулировать сведениями, отображаемыми на экране трейдера. Информация о ценах, получаемая приложением от биржи, записывалась в локальную базу данных, и при наличии доступа к компьютеру жертвы ее можно было изменить. На основании ложных сведений специалист фондового рынка мог совершать операции, выгодные злоумышленнику, и влиять на стоимость активов.

Изученные экспертами мобильные программы оказались уязвимы для кражи учетных данных пользователей. Баги, при помощи которых злоумышленники могли похитить логины и пароли, были обнаружены во всех терминалах для iOS. Также угнать аккаунт можно в половине клиентских приложений для Android при наличии root-прав или физического доступа к устройству, а еще в 17% случаев — даже без этих ограничений. Среди других брешей специалисты выделяют возможность проведения фишинговых атак (83% программ для Android и 20% для iOS), а также скрытное выполнение действий от имени пользователя и подмену информации о ценах.

Характер уязвимостей, выявленных в терминалах для онлайн-торговли через браузер, отличается от мобильных и десктопных программ. Аналитики отмечают, что веб-приложения подвержены атаке межсайтового скриптинга (XSS), открывают недостаточно защищенные сессии и неверно прописывают HTTP‑заголовки команд для установки безопасного соединения.

Компании финансового сектора, банки и онлайн-трейдеры вынуждены уделять повышенное внимание безопасности своих продуктов, поскольку они являются излюбленной мишенью киберпреступников. Интерес мошенников распространяется и на платформы для обмена и хранения криптовалюты. Так, в январе этого года хакеры вывели со счетов японской биржи Coincheck более полумиллиарда долларов в монетах NEM (XEM). Компания не смогла оправиться от последствий этого нападения и вскоре была продана менее чем за $32 млн.

В сентябре жертвой взлома стал еще один криптообменник из Японии — биржа Zaif. Нападающие сумели похитить около $60 млн из «горячих» кошельков, доступных онлайн, в токенах Bitcoin, Bitcoin Cash и MonaCoin.

Threatpost