Imagen: UnsplashLos expertos de Positive Technologies realizaron un
análisis de la seguridad de las aplicaciones comerciales: terminales comerciales que le permiten comprar y vender acciones, bonos, futuros, divisas y otros activos. Según el estudio, en el 61% de las aplicaciones es posible obtener acceso no autorizado a cuentas personales, en un 33% - realizar transacciones financieras en nombre de otros usuarios sin acceso a su cuenta personal, en un 17% - sustituir las cotizaciones mostradas. Tales ataques pueden causar cambios de precios en el mercado a favor del atacante, provocar pánico en el intercambio y causar un daño financiero significativo a los usuarios de aplicaciones vulnerables.
Las vulnerabilidades de aplicaciones comerciales más comunes
Los expertos estudiaron plataformas de negociación que son populares no solo entre los comerciantes privados, sino que también se utilizan ampliamente en bancos, fondos de inversión y otras organizaciones relacionadas con el comercio de divisas. La investigación se realizó en partes del cliente de las plataformas. Analizamos terminales de comercio de escritorio, así como aplicaciones móviles (para Android e iOS) y web para el comercio.
En el 61% de las aplicaciones, un atacante puede obtener el control de la cuenta personal de un usuario en un terminal comercial. Esto le permitirá intercambiar activos de los usuarios, obtener información sobre los fondos disponibles en el balance general, cambiar los parámetros de la negociación automática, ver el historial de operaciones y operaciones planificadas. La interceptación de credenciales en terminales de escritorio es posible en ausencia de cifrado de tráfico, y en aplicaciones móviles esto se ve facilitado por los derechos de root o jailbreak en el dispositivo. El acceso a su cuenta personal se puede obtener en algunas versiones web de aplicaciones, interceptando la sesión del usuario.
¿Cómo amenaza todo esto a los comerciantes?
Las vulnerabilidades descubiertas por los expertos de Positive Technologies en cada tercera aplicación permiten que personas no autorizadas realicen transacciones para la venta o compra de acciones en nombre del usuario y sin acceso a su cuenta personal. Un atacante puede aumentar el valor de los valores que le interesan comprándolos en masa en las cuentas de otras personas o reducir el valor de las acciones vendiéndolas activamente. Del mismo modo, puede manipular los tipos de cambio, si el ataque afecta a grandes jugadores o a una gran cantidad de usuarios. Comprar y vender activos de intercambio en nombre de otra persona es posible tanto en computadoras de escritorio como en terminales móviles y web.
Los ataques a la versión web de terminales comerciales pueden ser generalizados. Un atacante puede inyectar un script en una aplicación web o colocar un enlace malicioso en otro sitio popular. Luego, en nombre de cualquier usuario que ingrese a la aplicación o siga el enlace, se realizará una operación ilegítima. Esto permite ataques contra una gran cantidad de participantes del mercado.
Un operador que utiliza una aplicación vulnerable también corre el riesgo de descubrir que la situación real en el mercado financiero no coincide con lo que ve en la pantalla del terminal de operaciones. La sustitución de las cotizaciones mostradas es posible en el 17% de las aplicaciones. Por ejemplo, en el proceso de análisis de aplicaciones de escritorio, los expertos pudieron falsificar un gráfico de intervalos del tipo "velas japonesas", que muestra los cambios de cotizaciones para ciertos períodos.
Algunas aplicaciones de escritorio le permiten obtener control sobre la computadora del comerciante, por ejemplo, al reemplazar el archivo de actualización con malware. Como regla general, para atacar terminales comerciales para una computadora o dispositivos móviles, un atacante necesita condiciones especiales, como la capacidad de interceptar el tráfico o el acceso físico al dispositivo. Sin embargo, en el caso de un ataque dirigido a un jugador importante, la motivación del infractor puede ser suficiente para proporcionar tales condiciones. Un ejemplo de tal incidente: en febrero de 2015, las propuestas para la venta de $ 500 millones se llevaron al mercado en pocos minutos (como resultado de un ataque cibernético o un error por parte de un operador bancario), que depreciaron bruscamente la moneda estadounidense, permitieron a otros participantes del mercado comprar dólares a un precio más bajo y pagaron El banco enormes pérdidas.
Cómo protegerte
El acceso ilegal a las aplicaciones comerciales amenaza graves conmociones para el mercado y los usuarios de aplicaciones vulnerables. Al elegir una plataforma de negociación, los comerciantes deben prestar atención no solo a su funcionalidad, sino también a la seguridad. Es necesario utilizar las últimas versiones de las aplicaciones e instalar las actualizaciones lanzadas por el proveedor a tiempo.
Para los operadores privados que usan plataformas de negociación en sus dispositivos personales, los expertos recomiendan usar herramientas antivirus y no descargar aplicaciones de fuentes poco confiables. No instale versiones móviles de aplicaciones en dispositivos con privilegios de root o jailbreak. Cuando se trabaja con el terminal, no se recomienda conectarse a redes inseguras, como los puntos de acceso público a Wi-Fi. Para evitar el acceso no autorizado a su cuenta personal, debe usar la autenticación de dos factores, si esta función es compatible con la aplicación.
En los sistemas corporativos, se debe asignar un segmento separado de la red en el que se ubican los terminales comerciales y se debe proporcionar protección de este segmento. Es necesario seguir las recomendaciones básicas para garantizar un nivel aceptable de seguridad para los sistemas de información corporativos, y en particular para capacitar a los empleados en las reglas de seguridad de la información.
A su vez, los desarrolladores de terminales comerciales necesitan realizar pruebas de seguridad de aplicaciones con regularidad e implementar un ciclo de desarrollo seguro. Para proteger las versiones web de las plataformas de negociación, los expertos recomiendan el uso de medidas de protección preventivas, como un firewall de nivel de aplicación.
El martes 16 de octubre, a las 14:00 , durante el seminario web gratuito, el jefe del grupo de investigación de seguridad de sistemas bancarios de Tecnologías positivas, Yaroslav Babin, le informará más sobre el estudio y le dará consejos sobre cómo elegir una aplicación segura para el comercio.
Para participar en el seminario web, debe registrarse .