Проект

«Инфосистемы Джет» оценили защищенность мобильного приложения «МДМ Банка»

Заказчики: МДМ Банк

Москва; Финансовые услуги, инвестиции и аудит

Подрядчики: Инфосистемы Джет
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2014/10
Технология: ИБ - Антивирусы
подрядчики - 231
проекты - 1066
системы - 402
вендоры - 112
Технология: ИБ - Антиспам
подрядчики - 197
проекты - 876
системы - 214
вендоры - 80
Технология: ИБ - Аутентификация
подрядчики - 233
проекты - 717
системы - 372
вендоры - 216
Технология: ИБ - Межсетевые экраны
подрядчики - 274
проекты - 1094
системы - 602
вендоры - 209
Технология: ИБ - Предотвращения утечек информации
подрядчики - 199
проекты - 811
системы - 341
вендоры - 194
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 165
проекты - 524
системы - 258
вендоры - 117
Технология: ИБ - Средства шифрования
подрядчики - 218
проекты - 740
системы - 374
вендоры - 186

Компания «Инфосистемы Джет» и «МДМ Банк» завершили осенью 2014 год работы по оценке защищенности мобильного банка «МДМ mobile». По результатам тестирования подтверждена устойчивость мобильного приложения к попыткам кражи финансовых средств со счетов клиентов за счет выявления злоумышленниками уязвимостей ПО, получения несанкционированного доступа к клиентским учетным записям и конфиденциальной информации, хранящейся на клиентском устройстве и т.п.

«В новой версии мобильного банка `МДМ mobile` мы уделили отдельное внимание уровню защищенности данных клиентов с применением современных способов защиты. Но мы хотим быть уверены в безопасности предлагаемых услуг, именно поэтому банк привлекает авторитетные компании для подтверждения высокого уровня защищенности сервисов», — отметил Дмитрий Каштанов, вице-президент «МДМ Банка», руководитель дирекции электронного бизнеса.

Партнером банка в оценке защищенности приложения была выбрана компания «Инфосистемы Джет». Объектом оценки стало официальное приложение «МДМ mobile» для мобильных устройств, действующих под управлением ОС iOS.

Эксперты интегратора провели статический и динамический анализ исходного кода приложения. Далее была проведена оценка защищенности хранящихся на устройстве данных, безопасности межсетевого взаимодействия между мобильным приложением и веб-сервисом, а также настроек защищенного соединения веб-сервиса.

«При проведении аудита мы учитывали самые актуальные на сегодняшний день уязвимости, которым подвержены мобильные банковские приложения, — рассказал Даниил Чернов, руководитель отдела анализа защищенности ИТ-систем Центра информационной безопасности компании «Инфосистемы Джет». — Особое внимание при этом было уделено наличию возможностей для реализации MITM-атак (Man-In-The-Middle, `человек посередине`), когда злоумышленник получает возможность читать и изменять весь трафик пользователя банковского сервиса, а также целому ряду уязвимостей, чреватых нарушением конфиденциальности данных пользователя, их перехватом при передаче и т.д.».