ЦБ планирует разрешить банкам собирать биометрию через мобильные приложения. Но из–за проблем с их обновлениями возникает вопрос о безопасности этих данных.
Банк России предложил проработать механизм сдачи биометрии россиян в Единую биометрическую систему (ЕБС) с помощью банковских приложений. Об этом сообщила первый заместитель председателя ЦБ Ольга Скоробогатова на конференции "Финополис–2024". Сейчас сдать биометрические данные клиенты могут только при личном визите в офис банка либо через приложение ЕБС на платформе "Госуслуги".
Инициативу уже поддержали в Минцифры. Врио главы департамента развития технологий цифровой идентификации министерства Юрий Шабанов заявил, что ведомство готово поучаствовать в эксперименте.
Погоня за обновлениями
ЕБС собирает два типа биометрии — изображение лица и голос. Эти данные используются для подтверждения личности в дистанционном режиме. Это бывает нужно, например, при открытии банковского счёта или получении кредита без визита в отделение банка.
Систему запустили в июле 2018 года. С 1 января 2021 года удалённая идентификация через ЕБС стала обязательной для банков, оказывающих услуги дистанционно. В сборе данных участвуют более 180 банков.
Идея собирать биометрию напрямую через банковские приложения, которыми каждый день пользуются миллионы россиян, выглядит удобной с точки зрения сервиса. Однако она вызывает у специалистов весьма обоснованные опасения с точки зрения безопасности.
Основная проблема, с которой сталкиваются сейчас мобильные банковские приложения в России, — отсутствие возможности официально и легально размещаться в магазинах App Store и Google Play. Владельцам Android, чтобы скачать, установить или обновить приложение, нужно заходить на сайты самих банков или пользоваться альтернативными магазинами приложений.
Владельцам iPhone повезло гораздо меньше — им приходится либо пользоваться PWA–приложениями (версии веб–сайта, адаптированные под Android и iOS–устройства пользователей), либо обращаться в офис банка. Там iPhone с помощью кабеля соединяют с мобильным устройством или ноутбуком сотрудника банка, который использует специальное ПО для установки приложения в обход App Store. Специалисты в сфере кибербезопасности не раз критиковали подобный метод как потенциально опасный.
Ещё один способ для владельцев "Яблока" — успеть обновить или скачать приложение, которое появилось на несколько часов в App Store. Большинство российских банков время от времени публикуют там копии своих "аппов". Через какое–то время администрация App Store их удаляет, но банки успевают оповестить клиентов.
"По умолчанию нужно обновлять мобильные приложения, поскольку прогресс не стоит на месте и там могут быть реализованы новые механизмы защиты или улучшены старые", — отмечает руководитель практики разработки мобильных приложений группы "Рексофт" Алексей Артамонов.
Руководитель продуктового направления Innostage Евгений Фёдоров подчёркивает, что регулярные обновления приложений — это основа безопасности. "Разработчики постоянно выпускают патчи, чтобы закрывать недавно обнаруженные уязвимости. Отсутствие обновлений может привести к тому, что даже минимально технически подкованный злоумышленник сможет воспользоваться старыми “дырами” для атаки. Это особенно критично для банковских приложений, которые хранят чувствительные данные и обрабатывают финансовые операции. Если приложение не обновляется, оно становится более уязвимым для атак, включая кражу данных и внедрение вредоносного ПО", — поясняет эксперт.
Генеральный директор ITprotect Андрей Мишуков обращает внимание на то, что разработчики в обновлениях не только закрывают уязвимости, но и добавляют новый функционал, устраняют ошибки. Однако однозначной прямой корреляции между частотой обновлений приложений и повышением безопасности хранящихся в них данных всё–таки нет, считает он.
Утечки и мошенники
Также актуальна проблема мошенничества — из–за того что банки не могут публиковаться в App Store и Google Play, пользователь может случайно скачать фейковое приложение или наткнуться на копию сайта банка. Алексей Артамонов отмечает, что проблема не нова и необходимо всегда проверять источник ссылки на новое приложение.
Евгений Фёдоров утверждает, что владельцы Android сейчас в уязвимом положении.
“
"Уход Google Play заставил пользователей искать обходные пути для установки приложений. Это увеличивает шансы на попадание в руки злоумышленников. Плюс если пользователю лень регулярно обновлять свою систему и приложения — он рискует накопить массу уязвимостей", — говорит эксперт.
Для владельцев iPhone, которые вынуждены пользоваться браузерными версиями приложений, ситуация ещё сложнее. Они не могут полноценно использовать все функции безопасности, доступные для оригинальных приложений, такие как шифрование данных на уровне устройства или использование биометрии для аутентификации. Это повышает риски утечек данных и уязвимостей, особенно если пользователи игнорируют обновления браузеров или используют их без дополнительных мер безопасности — антивирусного ПО.
Ключи от квартиры, где деньги лежат
С учётом всего вышесказанного идея собирать и передавать через банковские приложения биометрические данные выглядит как минимум небезопасной.
“
"Важно учитывать механизм реализации этого сбора. Всегда есть риск по невнимательности попасть на фишинговые приложения, которые могут попробовать собрать биометрию", — комментирует Алексей Артамонов.
Евгений Фёдоров ещё более категоричен. Он считает, что сдача биометрии через уязвимое банковское приложение — это как передать ключи от дома через ненадёжного курьера. Биометрия не пароль, который можно сменить при необходимости. Это уникальные данные, и в случае их утечки последствия могут быть куда более серьёзными. Если приложение не обновляется и содержит уязвимости, злоумышленники могут использовать их для кражи биометрических данных, что означает совершенно новый уровень рисков.
Противоположного мнения придерживается Андрей Мишуков. Приложения популярных банков находятся сейчас на серьёзном уровне защиты данных, считает он. Архитектура приложений настроена таким образом, что данные обрабатываются безопасно и украсть их можно, только взломав операционную систему на телефоне и получив привилегированный доступ к каналу передачи данных.
"Часто биометрические данные лица человека есть в открытом доступе. Это выложенные самими пользователями видеоматериалы (“кружочки”, например). Больших рисков утечки биометрических данных придумать сложно", — заключает эксперт.