Исследователи из университета Бирмингема опубликовали доклад (PDF), в котором предупредили, что некоторые мобильные приложения крупных банков, как для iOS, так и для Android, представляют угрозу для пользователей.
Из-за проблемы, обнаруженной специалистами, уже были обновлены приложения банков HSBC, NatWest, Co-op, Santander, а также Allied Irish.
В своем докладе группа исследователей рассказала, что все проблемные приложение были уязвимы перед атаками man-in-the-middle (MitM) из-за проблемы в реализации механизма привязки сертификатов (certificate pinning). По сути, атакующие, находящиеся в той же сети, что и их жертва, могли перехватывать и дешифровать SSL-соединения, а вместе с ними банковские учетные данные (пароли, логины, PIN-коды), даже если в приложении реализован механизм SSL pinning, который должен напротив защищать от MitM-атак.
Специалисты пишут, что создали для проверки приложений специальный инструмент, получивший название Spinner. Инструмент использует в работе движок IoT-поисковика Censys.
Тестирование показало, что из-за неверной реализации верификации имени хоста многие банковские приложения можно ввести в заблуждение: в сущности, они не проверяли, что соединяются с доверенным источником.
Кроме того, в приложениях банков Santander и Allied Irish была обнаружена уязвимость перед так называемым in-app фишингом. То есть злоумышленники имели возможность «подделать» часть экрана приложения и таким обманом выманить у пользователя учетные данные.