Ошибка безопасности в 9 банковских приложениях, возможно, утечка информации 10 миллионов пользователей

Большинство, если не все, чувствительные к безопасности приложения используют так называемое соединение TLS для создания надежно зашифрованной связи между своими серверами и телефоном. Это гарантирует, что когда вы, скажем, делаете банковские операции на своем телефоне, вы на самом деле общаетесь с вашим банком, а не с каким-то случайным, потенциально опасным сервером.

Есть только одна небольшая проблема: согласно докладу, представленному в среду на ежегодной конференции по приложениям компьютерной безопасности в Орландо, исследователи из Университета Бирмингема обнаружили, что девять популярных банковских приложений не принимают надлежащих мер предосторожности при настройке своего соединения TLS. Эти приложения имеют общую пользовательскую базу в 10 миллионов человек, и все учетные данные для входа в систему могут быть скомпрометированы, если использовать этот недостаток.

«Это серьезно, пользователи верят, что эти банки могут обеспечить безопасность своих операций», - говорит Крис МакМахон Стоун, аспирант кафедры компьютерной безопасности Университета Бирмингема. обратный, «Этот недостаток теперь исправлен, мы раскрыли его всем вовлеченным банкам. Но если злоумышленник знает об этой уязвимости и скажет, что пользователь запускает устаревшее приложение, использовать его будет довольно тривиально. Единственное требование заключается в том, что злоумышленник должен находиться в той же сети, что и его жертва, так же, как в общедоступной сети Wi-Fi.

Вот список уязвимых приложений, согласно статье.

Предполагается, что TLS-соединение гарантирует, что когда вы вводите информацию для входа в свой банк, вы отправляете ее только в свой банк, и никому другому. Эта мера безопасности является двухэтапным процессом.

Он начинается с того, что банки или другие организации отправляют криптографически подписанные сертификаты, подтверждающие, что они действительно являются теми, кем себя называют. Эти подписи выдаются центрами сертификации, которые являются доверенными третьими сторонами в этом процессе.

После отправки этого сертификата - и приложение удостоверится в его легитимности - необходимо проверить имя хоста сервера. Это просто проверка имени сервера, к которому вы пытаетесь подключиться, чтобы убедиться, что вы не устанавливаете соединение с кем-либо еще.

Это второй шаг, когда эти банки сбросили мяч.

«Некоторые из этих приложений, которые мы обнаружили, проверяли, правильно ли подписан сертификат, но они не проверяли имя хоста должным образом», - говорит Стоун. «Таким образом, они ожидают любой действительный сертификат для любого сервера».

Это означает, что злоумышленник может подделать сертификат и провести атаку «человек посередине». Где злоумышленник размещает соединение между банком и пользователем. Это дало бы им доступ к все информация, отправленная во время этого соединения.

Хотя этот недостаток был исправлен, если вы используете какое-либо из приложений, перечисленных выше, вы должен убедитесь, что ваше приложение обновлено, чтобы получить исправление. Стоун также настоятельно призывает людей делать свои мобильные банковские операции дома, создав свою собственную сеть, чтобы избежать каких-либо возможностей атаки «человек посередине».

Оставайтесь в безопасности в Интернете, друзья.