Bezpečnosť Flaw v deviatich bankových aplikácií môže unikli 10 miliónov informácií používateľov

Väčšina aplikácií, ktoré nie sú bezpečné, používajú tzv. TLS pripojenie na vytvorenie bezpečného šifrovaného spojenia medzi servermi a telefónom. To zaisťuje, že keď hovoríte, že robíte svoje bankovníctvo v telefóne, v skutočnosti komunikujete so svojou bankou a nie nejakým náhodným, potenciálne nebezpečným serverom.

Je tu len jeden malý problém: Podľa dokumentu, ktorý bol prezentovaný v stredu na výročnej konferencii o aplikáciách počítačovej bezpečnosti v Orlande, výskumníci z University of Birmingham zistili, že deväť populárnych bankových aplikácií neprijalo správne opatrenia pri nastavovaní svojho pripojenia TLS. Tieto aplikácie majú kombinovanú užívateľskú základňu 10 miliónov ľudí, pričom všetky tieto bankové prihlasovacie údaje mohli byť zneužité, ak by sa táto chyba zneužila.

"Je to vážne, používatelia dôverujú, že tieto banky môžu vykonávať svoju operačnú bezpečnosť," hovorí Chris McMahon Stone, doktorand na počítačovej bezpečnosti PhD. obrátený, „Táto chyba je teraz stanovená, zverejnili sme ju všetkým zúčastneným bankám. Ale ak útočník vedel o tejto zraniteľnosti a hovoril, že užívateľ beží starú aplikáciu, potom by bolo dosť triviálne využívať. Jedinou požiadavkou je, aby útočník musel byť v rovnakej sieti ako obeť, tak ako verejná sieť WiFi.

Tu je zoznam ovplyvnených aplikácií na papier.

Spojenie TLS má zabezpečiť, že keď zadáte svoje prihlasovacie údaje do banky, pošlete ich len do svojej banky a nikto iný. Toto bezpečnostné opatrenie je dvojkrokovým procesom.

Začína bankami alebo inými subjektmi odosielajúcimi cez kryptograficky podpísaný certifikát, ktorý overuje, či sú skutočne tým, kým sa domnievajú, že sú. Tieto podpisy vydávajú certifikačné autority, ktoré sú dôveryhodnými tretími stranami v tomto procese.

Akonáhle je tento certifikát odoslaný - a aplikácia zabezpečí, že je dôveryhodný - musí byť overený názov servera. Jednoducho stačí skontrolovať názov servera, ku ktorému sa pokúšate pripojiť, aby ste sa uistili, že nie je nadviazané spojenie s nikým iným.

Je to druhý krok, keď tieto banky upustili loptu.

„Niektoré z týchto aplikácií, ktoré sme zistili, kontrolovali, či bol certifikát správne podpísaný, ale správny názov hostiteľa nekontroloval,“ hovorí Stone. "Takže by očakávali platný certifikát pre akýkoľvek server."

To znamená, že útočník by mohol falošný certifikát a pripojiť muž-in-the-middle útok. Kde útočník hostí spojenie medzi bankou a užívateľom. To by im umožnilo prístup všetko informácie odoslané počas tohto spojenia.

Kým táto chyba bola odstránená, ak používate niektorú z aplikácií uvedených vyššie musieť Uistite sa, že vaša aplikácia je aktualizovaná, aby ste získali opravu. Stone tiež dôrazne vyzýva ľudí, aby robili svoje mobilné bankovníctvo doma, jednu vlastnú sieť, aby sa vyhli akýmkoľvek možnostiam útoku muž-v-strede.

Buďte na internete v bezpečí, priatelia.