图片:未飞溅积极技术公司的专家对
交易应用程序的安全性进行了
分析 -可以让您买卖股票,债券,期货,货币和其他资产的交易终端。 根据该研究,在61%的应用程序中,有33%的用户可以代表未经授权的用户访问个人帐户,而在不使用您的个人帐户的情况下代表其他用户进行金融交易,则有17%的用户可以替代显示的报价。 此类攻击可能导致市场价格上涨,从而有利于攻击者,引起交易所恐慌,并对易受攻击的应用程序的用户造成重大财务损失。
最常见的交易应用程序漏洞
专家们研究了不仅在私人交易者中流行的交易平台,而且广泛用于银行,投资基金和其他与交易所交易有关的组织中。 对平台的客户端部分进行了研究。 我们分析了桌面交易终端以及用于交易的移动设备(适用于Android和iOS)和网络应用程序。
在61%的应用程序中,攻击者可以在交易终端上控制用户的个人帐户。 这将使您可以交易用户资产,在资产负债表上获取有关可用资金的信息,更改自动交易的参数,查看工序和计划工序的历史记录。 在不进行流量加密的情况下,可以在台式机终端中拦截凭据,而在移动应用程序中,可以通过设备的root权限或越狱来简化凭据。 可以在某些Web版本的应用程序中访问您的个人帐户,从而拦截用户的会话。
这一切如何威胁交易员
积极技术专家在每三个应用程序中发现的漏洞使未经授权的人员可以代表用户进行买卖股票的交易,而无需访问您的个人帐户。 攻击者可以通过在其他人的帐户上大量购买来增加其感兴趣的证券的价值,或者通过积极出售来降低股票的价值。 同样,如果攻击影响大型玩家或大量用户,则可以操纵汇率。 可以在台式机以及移动和Web终端中代表他人买卖交易所资产。
对网络版本的交易终端的攻击可能很普遍。 攻击者可以将脚本注入Web应用程序,也可以在另一个流行的网站上放置恶意链接。 然后,代表任何进入该应用程序或点击该链接的用户,将执行非法操作。 这允许针对大量市场参与者的攻击。
使用易受攻击的应用程序的交易者也有发现金融市场的实际情况与他在交易终端屏幕上看到的情况不匹配的风险。 在17%的应用程序中可以替换显示的报价。 例如,在分析桌面应用程序的过程中,专家能够伪造“日式蜡烛”类型的间隔图,该间隔图显示特定时期内报价的变化。
某些桌面应用程序可让您控制交易者的计算机,例如,用恶意软件替换更新文件。 通常,要攻击计算机或移动设备的交易终端,攻击者需要特殊条件,例如拦截流量或对设备进行物理访问的能力。 但是,在对主要玩家进行有针对性的攻击的情况下,犯罪者的动机可能足以提供这种条件。 此类事件的一个例子:2015年2月,由于网络攻击或银行运营商的失误,几分钟内就向市场提出了5亿美元的出售建议,这使美元急剧贬值,允许其他市场参与者以较低的价格购买美元并支付了一定的费用。银行损失惨重。
如何保护自己
对交易应用程序的非法访问威胁到市场和易受攻击的应用程序的用户。 选择交易平台时,交易者不仅应注意其功能,还应注意安全性。 必须使用最新版本的应用程序,并及时安装供应商发布的更新。
对于在其个人设备上使用交易平台的私人交易者,专家建议使用防病毒工具,而不要从不可靠的来源下载应用程序。 不要在具有root权限或越狱的设备上安装应用程序的移动版本。 使用终端时,建议不要连接到不安全的网络,例如公共Wi-Fi接入点。 为防止未经授权访问您的个人帐户,如果应用程序支持此功能,则需要使用两因素身份验证。
在公司系统中,应分配交易终端所在网络的单独网段,并应对此网段提供保护。 有必要遵循基本建议,以确保公司信息系统的安全级别可以接受,尤其是对员工进行信息安全规则培训。
反过来,交易终端的开发人员需要定期进行应用程序安全性测试并实施安全的开发周期。 为了保护交易平台的Web版本,专家建议使用预防性保护措施,例如应用程序级防火墙。
10月16日,星期二的14:00,在一次免费的网络研讨会上,Positive Technologies银行系统安全研究小组的负责人Yaroslav Babin将进一步讨论这项研究,并提供有关选择安全交易应用程序的提示。
要参加网络研讨会,您必须注册 。