您的位置: 首頁 >互聯(lián)網(wǎng) >

研究人員發(fā)現(xiàn)一個(gè)安全漏洞 有1000萬銀行應(yīng)用程序用戶面臨風(fēng)險(xiǎn)

2019-06-22 11:31:05 編輯: 來源:
導(dǎo)讀 伯明翰大學(xué)的研究人員開發(fā)了一種工具,可以對手機(jī)應(yīng)用程序進(jìn)行半自動(dòng)安全測試。在對400個(gè)安全關(guān)鍵應(yīng)用程序的示例運(yùn)行該工具后,他們能夠識

伯明翰大學(xué)的研究人員開發(fā)了一種工具,可以對手機(jī)應(yīng)用程序進(jìn)行半自動(dòng)安全測試。在對400個(gè)安全關(guān)鍵應(yīng)用程序的示例運(yùn)行該工具后,他們能夠識別銀行應(yīng)用程序中的關(guān)鍵漏洞; 包括來自匯豐銀行,NatWest,合作社和美國銀行健康的應(yīng)用程序。

此漏洞允許與受害者(例如,公共WiFi或公司)連接到同一網(wǎng)絡(luò)的攻擊者執(zhí)行所謂的“中間人攻擊”并檢索用戶的憑據(jù),例如用戶名和密碼/密碼。

研究人員發(fā)現(xiàn)銀行已經(jīng)在他們的應(yīng)用程序的安全性方面付出了很多努力,但是使用的一種特殊技術(shù) - 所謂的“證書固定” - 通常可以提高安全性,這意味著標(biāo)準(zhǔn)測試無法檢測到可能存在的嚴(yán)重漏洞讓攻擊者控制受害者的網(wǎng)上銀行。

測試發(fā)現(xiàn),來自世界上一些大型銀行的應(yīng)用程序包含此漏洞,如果被利用,可能使攻擊者能夠解密,查看和修改來自應(yīng)用程序用戶的網(wǎng)絡(luò)流量。具有此功能的攻擊者因此可以執(zhí)行通常在應(yīng)用程序上可能執(zhí)行的任何操作。

還發(fā)現(xiàn)了其他攻擊,包括針對桑坦德和愛爾蘭聯(lián)合銀行的“應(yīng)用網(wǎng)絡(luò)釣魚攻擊”。這些攻擊會(huì)讓攻擊者在應(yīng)用程序運(yùn)行時(shí)接管部分屏幕,并使用此攻擊來獲取受害者的登錄憑據(jù)。

研究人員與相關(guān)銀行以及英國政府的國家網(wǎng)絡(luò)安全中心合作修復(fù)了所有漏洞,受此固定漏洞影響的所有應(yīng)用程序的當(dāng)前版本現(xiàn)在都是安全的。

研究人員建議銀行應(yīng)用程序的所有用戶確保他們始終使用最新版本的應(yīng)用程序,并且他們總是在提供升級后立即安裝升級。

該研究由Tom Chothia博士,F(xiàn)lavio Garcia博士和博士候選人Chris McMahon Stone進(jìn)行,他們都是伯明翰大學(xué)安保和隱私小組的成員。

Tom Chothia博士說:“總的來說,我們檢查的應(yīng)用程序的安全性非常好,我們發(fā)現(xiàn)的漏洞很難被發(fā)現(xiàn),而且由于我們開發(fā)的新工具,我們只能找到這么多的弱點(diǎn)”他補(bǔ)充說“這是不可能的告訴我們這些漏洞是否被利用,但如果他們是攻擊者,則可以訪問連接到受感染網(wǎng)絡(luò)的任何人的銀行應(yīng)用程序“。

Flavio Garcia博士說:“證書固定是一種提高連接安全性的好方法,但在這種情況下,它使?jié)B透測試人員很難識別出沒有正確主機(jī)名驗(yàn)證的更嚴(yán)重問題”

Chris McMahon Stone說:“由于這個(gè)缺陷通常難以從正常的分析技術(shù)中檢測到,我們開發(fā)了一種半自動(dòng)化且易于操作的檢測工具。這將有助于開發(fā)人員和滲透測試人員確保他們的應(yīng)用程序能夠抵御此攻擊“。

1月份在金融密碼學(xué)和數(shù)據(jù)安全會(huì)議上發(fā)表的論文“英國領(lǐng)先銀行應(yīng)用程序中TLS的安全性分析”中給出了一些初步結(jié)果,并將在“Spinner:半自動(dòng)檢測”一文中給出完整的結(jié)果。沒有主機(jī)名驗(yàn)證的固定“將于周三在奧蘭多舉行的第33屆計(jì)算機(jī)安全應(yīng)用大會(huì)上公布。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。