Ведомости подготовили материал о разработке "Сбером" собственное ПО для установки своего банковского приложения на iPhone. Но для этого необходимо напрямую подключить смартфон пользователя к ноутбуку сотрудника банка через кабель. Руководитель направления "Расследование инцидентов информационной безопасности" FBK CyberSecurity Игорь Собецкий в комментарии изданию отметил, что данное решение имеет ряд серьезных недостатков :
«В iOS имеется фундаментальное ограничение на установку программ не из магазина Apple и если "Сбер" обходит это ограничение, то возможно использование в том или ином виде технологии jail break (вмешательство в ядро операционной системы с целью получения привилегированного доступа). Такой способ установки приложения "Сбера" обладает всеми недостатками jail break - сокращение времени автономной работы устройства, возможность выхода iPhone из строя при установке обновлений, снижение уровня безопасности устройства, перечисляет он. Также возможны проблемы с push-уведомлениями и со связью.
Кроме того, при наличии недокументированных возможностей в программе «Сбера» – в том числе внедрении вредоносного кода вопреки намерениям программистов – возможна полная компрометация iPhone, при которой злоумышленники получают полный доступ в том числе к аккаунту AppleID и банковским счетам владельца. То есть возможно как «окирпичивание» iPhone с последующим шантажом его владельца, так и простое хищение средств с его банковских счетов, причем не только в «Сбере». К сожалению, программа «Сбера» на данный момент не сертифицирована Федеральной службой технического и экспортного контроля на отсутствие недекларированных возможностей, так что исключать негативные сценарии нельзя»
Игорь Собецкий
Руководитель направления
«Расследование инцидентов информационной безопасности»
FBK CyberSecurity