研究人員發(fā)現(xiàn)一個(gè)安全漏洞 有1000萬銀行應(yīng)用程序用戶面臨風(fēng)險(xiǎn)

伯明翰大學(xué)的研究人員開發(fā)了一種工具，可以對(duì)手機(jī)應(yīng)用程序進(jìn)行半自動(dòng)安全測(cè)試。在對(duì)400個(gè)安全關(guān)鍵應(yīng)用程序的示例運(yùn)行該工具后，他們能夠識(shí)別銀行應(yīng)用程序中的關(guān)鍵漏洞; 包括來自匯豐銀行，NatWest，合作社和美國(guó)銀行健康的應(yīng)用程序。

此漏洞允許與受害者(例如，公共WiFi或公司)連接到同一網(wǎng)絡(luò)的攻擊者執(zhí)行所謂的“中間人攻擊”并檢索用戶的憑據(jù)，例如用戶名和密碼/密碼。

研究人員發(fā)現(xiàn)銀行已經(jīng)在他們的應(yīng)用程序的安全性方面付出了很多努力，但是使用的一種特殊技術(shù) - 所謂的“證書固定” - 通?？梢蕴岣甙踩?，這意味著標(biāo)準(zhǔn)測(cè)試無法檢測(cè)到可能存在的嚴(yán)重漏洞讓攻擊者控制受害者的網(wǎng)上銀行。

測(cè)試發(fā)現(xiàn)，來自世界上一些大型銀行的應(yīng)用程序包含此漏洞，如果被利用，可能使攻擊者能夠解密，查看和修改來自應(yīng)用程序用戶的網(wǎng)絡(luò)流量。具有此功能的攻擊者因此可以執(zhí)行通常在應(yīng)用程序上可能執(zhí)行的任何操作。

還發(fā)現(xiàn)了其他攻擊，包括針對(duì)桑坦德和愛爾蘭聯(lián)合銀行的“應(yīng)用網(wǎng)絡(luò)釣魚攻擊”。這些攻擊會(huì)讓攻擊者在應(yīng)用程序運(yùn)行時(shí)接管部分屏幕，并使用此攻擊來獲取受害者的登錄憑據(jù)。

研究人員與相關(guān)銀行以及英國(guó)政府的國(guó)家網(wǎng)絡(luò)安全中心合作修復(fù)了所有漏洞，受此固定漏洞影響的所有應(yīng)用程序的當(dāng)前版本現(xiàn)在都是安全的。

研究人員建議銀行應(yīng)用程序的所有用戶確保他們始終使用最新版本的應(yīng)用程序，并且他們總是在提供升級(jí)后立即安裝升級(jí)。

該研究由Tom Chothia博士，F(xiàn)lavio Garcia博士和博士候選人Chris McMahon Stone進(jìn)行，他們都是伯明翰大學(xué)安保和隱私小組的成員。

Tom Chothia博士說：“總的來說，我們檢查的應(yīng)用程序的安全性非常好，我們發(fā)現(xiàn)的漏洞很難被發(fā)現(xiàn)，而且由于我們開發(fā)的新工具，我們只能找到這么多的弱點(diǎn)”他補(bǔ)充說“這是不可能的告訴我們這些漏洞是否被利用，但如果他們是攻擊者，則可以訪問連接到受感染網(wǎng)絡(luò)的任何人的銀行應(yīng)用程序“。

Flavio Garcia博士說：“證書固定是一種提高連接安全性的好方法，但在這種情況下，它使?jié)B透測(cè)試人員很難識(shí)別出沒有正確主機(jī)名驗(yàn)證的更嚴(yán)重問題”

Chris McMahon Stone說：“由于這個(gè)缺陷通常難以從正常的分析技術(shù)中檢測(cè)到，我們開發(fā)了一種半自動(dòng)化且易于操作的檢測(cè)工具。這將有助于開發(fā)人員和滲透測(cè)試人員確保他們的應(yīng)用程序能夠抵御此攻擊“。

1月份在金融密碼學(xué)和數(shù)據(jù)安全會(huì)議上發(fā)表的論文“英國(guó)領(lǐng)先銀行應(yīng)用程序中TLS的安全性分析”中給出了一些初步結(jié)果，并將在“Spinner：半自動(dòng)檢測(cè)”一文中給出完整的結(jié)果。沒有主機(jī)名驗(yàn)證的固定“將于周三在奧蘭多舉行的第33屆計(jì)算機(jī)安全應(yīng)用大會(huì)上公布。