Positive Technologies: хакеры могут обрушить котировки акций и курсы валют
Согласно исследованию, в 61% приложений возможно получение несанкционированного доступа к личным кабинетам, в 33% — проведение финансовых операций от имени других пользователей без доступа к личному кабинету, в 17% — подмена отображаемых котировок. Такие атаки могут вызывать изменение цен на рынке в пользу злоумышленника, спровоцировать панику на бирже и нанести значительный финансовый ущерб пользователям уязвимых приложений.
Эксперты изучили торговые платформы, которые популярны не только среди частных трейдеров, но и широко используются в банках, инвестиционных фондах и иных организациях, связанных с биржевой торговлей. Исследования проводились в отношении клиентских частей платформ. Были проанализированы десктопные торговые терминалы, а также мобильные (для Android и iOS) и веб-приложения для трейдинга.
В 61% приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Это позволит торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли, просмотреть историю операций и запланированные операции. Перехват учетных данных в десктопных терминалах возможен при отсутствии шифрования трафика, а в мобильных приложениях этому способствуют root-права или jailbreak на устройстве. Доступ к личному кабинету можно получить и в некоторых веб-версиях приложений, перехватив сессию пользователя.
Уязвимости, обнаруженные экспертами Positive Technologies в каждом третьем приложении, позволяют посторонним лицам осуществлять сделки по продаже или покупке акций от имени пользователя и без доступа к личному кабинету. Злоумышленник может увеличить стоимость интересующих его ценных бумаг с помощью массовой покупки их на чужих аккаунтах или снизить стоимость акций, активно продавая их. Аналогичным образом можно манипулировать курсами валют — если атака затронет крупных игроков или большое количество пользователей. Покупка и продажа биржевых активов от чужого имени возможна как в десктопных, так и в мобильных и веб-терминалах.
Специалисты отмечают, что атаки на веб-версии торговых терминалов могут носить массовый характер. Злоумышленник может внедрить скрипт в веб-приложение или разместить на другом популярном сайте вредоносную ссылку. Тогда от лица любого пользователя, который зайдет в приложение или перейдет по ссылке, выполнится нелегитимная операция. Это позволяет осуществлять атаки в отношении большого числа участников рынка.
По материалам Positive Technologies