研究人員發(fā)現一個安全漏洞 有1000萬銀行應用程序用戶面臨風險

伯明翰大學的研究人員開發(fā)了一種工具，可以對手機應用程序進行半自動安全測試。在對400個安全關鍵應用程序的示例運行該工具后，他們能夠識別銀行應用程序中的關鍵漏洞; 包括來自匯豐銀行，NatWest，合作社和美國銀行健康的應用程序。

此漏洞允許與受害者(例如，公共WiFi或公司)連接到同一網絡的攻擊者執(zhí)行所謂的“中間人攻擊”并檢索用戶的憑據，例如用戶名和密碼/密碼。

研究人員發(fā)現銀行已經在他們的應用程序的安全性方面付出了很多努力，但是使用的一種特殊技術 - 所謂的“證書固定” - 通?？梢蕴岣甙踩?，這意味著標準測試無法檢測到可能存在的嚴重漏洞讓攻擊者控制受害者的網上銀行。

測試發(fā)現，來自世界上一些大型銀行的應用程序包含此漏洞，如果被利用，可能使攻擊者能夠解密，查看和修改來自應用程序用戶的網絡流量。具有此功能的攻擊者因此可以執(zhí)行通常在應用程序上可能執(zhí)行的任何操作。

還發(fā)現了其他攻擊，包括針對桑坦德和愛爾蘭聯合銀行的“應用網絡釣魚攻擊”。這些攻擊會讓攻擊者在應用程序運行時接管部分屏幕，并使用此攻擊來獲取受害者的登錄憑據。

研究人員與相關銀行以及英國政府的國家網絡安全中心合作修復了所有漏洞，受此固定漏洞影響的所有應用程序的當前版本現在都是安全的。

研究人員建議銀行應用程序的所有用戶確保他們始終使用最新版本的應用程序，并且他們總是在提供升級后立即安裝升級。

該研究由Tom Chothia博士，Flavio Garcia博士和博士候選人Chris McMahon Stone進行，他們都是伯明翰大學安保和隱私小組的成員。

Tom Chothia博士說：“總的來說，我們檢查的應用程序的安全性非常好，我們發(fā)現的漏洞很難被發(fā)現，而且由于我們開發(fā)的新工具，我們只能找到這么多的弱點”他補充說“這是不可能的告訴我們這些漏洞是否被利用，但如果他們是攻擊者，則可以訪問連接到受感染網絡的任何人的銀行應用程序“。

Flavio Garcia博士說：“證書固定是一種提高連接安全性的好方法，但在這種情況下，它使?jié)B透測試人員很難識別出沒有正確主機名驗證的更嚴重問題”

Chris McMahon Stone說：“由于這個缺陷通常難以從正常的分析技術中檢測到，我們開發(fā)了一種半自動化且易于操作的檢測工具。這將有助于開發(fā)人員和滲透測試人員確保他們的應用程序能夠抵御此攻擊“。

1月份在金融密碼學和數據安全會議上發(fā)表的論文“英國領先銀行應用程序中TLS的安全性分析”中給出了一些初步結果，并將在“Spinner：半自動檢測”一文中給出完整的結果。沒有主機名驗證的固定“將于周三在奧蘭多舉行的第33屆計算機安全應用大會上公布。