Исследователи из университета Бирмингема опубликовали доклад (PDF), в котором предупредили, что некоторые мобильные приложения крупных банков, как для iOS, так и для Android, представляют угрозу для пользователей.

Из-за проблемы, обнаруженной специалистами, уже были обновлены приложения банков HSBC, NatWest, Co-op, Santander, а также Allied Irish.

В своем докладе группа исследователей рассказала, что все проблемные приложение были уязвимы перед атаками man-in-the-middle (MitM) из-за проблемы в реализации механизма привязки сертификатов (certificate pinning). По сути, атакующие, находящиеся в той же сети, что и их жертва, могли перехватывать и дешифровать SSL-соединения, а вместе с ними банковские учетные данные (пароли, логины, PIN-коды), даже если в приложении реализован механизм SSL pinning, который должен напротив защищать от MitM-атак.

Специалисты пишут, что создали для проверки приложений специальный инструмент, получивший название Spinner. Инструмент использует в работе движок IoT-поисковика Censys.

Тестирование показало, что из-за неверной реализации верификации имени хоста многие банковские приложения можно ввести в заблуждение: в сущности, они не проверяли, что соединяются с доверенным источником.

Кроме того, в приложениях банков Santander и Allied Irish была обнаружена уязвимость перед так называемым in-app фишингом. То есть злоумышленники имели возможность «подделать» часть экрана приложения и таким обманом выманить у пользователя учетные данные.



5 комментариев

  1. Nick

    08.12.2017 at 19:30

  2. john_

    09.12.2017 at 11:17

    Насколько дыряв наш мир 🙈🙈🙈интересно, когда говноеодеры исчезнут/эволюционируют….

  3. Themistocles

    10.12.2017 at 19:20

    Так не понял, в приложениях была реализована связь безопасная или нет? если они не проверяли сервер на оригинальность о какой защите идёт речь

  4. mYoda

    11.12.2017 at 16:41

    indaStyle! эти приложения, в основном, разработаны индусами… а это о многом говорит… .,
    P.S. я не расист… просто приходится кодить после них часто))

Оставить мнение