首页 > 经济 > > 正文
2019-11-07 15:44:48

发现安全漏洞 1000万银行应用程序用户面临风险

导读 伯明翰大学的研究人员开发了一种工具,可以对手机应用程序进行半自动安全测试。在400个安全关键应用程序样本上运行该工具后,他们能够识别

伯明翰大学的研究人员开发了一种工具,可以对手机应用程序进行半自动安全测试。在400个安全关键应用程序样本上运行该工具后,他们能够识别银行应用程序中的一个关键漏洞,包括来自汇丰银行,NatWest,合作社和美国银行健康的应用程序。

此漏洞允许与受害者(例如,公共WiFi或公司)连接到同一网络的攻击者执行所谓的“中间人攻击”并检索用户的凭据,例如用户名和密码/密码。

研究人员发现银行已经在他们的应用程序的安全性方面付出了很多努力,但是使用的一种特殊技术 - 所谓的“证书锁定” - 通常可以提高安全性,这意味着标准测试未能检测到严重的漏洞这可能让攻击者控制受害者的网上银行。

测试发现,来自世界上一些大型银行的应用程序包含此漏洞,如果被利用,可能使攻击者能够解密,查看和修改来自应用程序用户的网络流量。具有此功能的攻击者因此可以执行通常在应用程序上可能执行的任何操作。

还发现了其他攻击,包括针对桑坦德和爱尔兰联合银行的“应用网络钓鱼攻击”。这些攻击会让攻击者在应用程序运行时接管部分屏幕,并使用此攻击来获取受害者的登录凭据。

研究人员与相关银行以及英国政府的国家网络安全中心合作修复了所有漏洞,受此固定漏洞影响的所有应用程序的当前版本现在都是安全的。

研究人员建议银行应用程序的所有用户确保他们始终使用最新版本的应用程序,并且他们总是在提供升级后立即安装升级。

该研究由Tom Chothia博士,Flavio Garcia博士和博士候选人Chris McMahon Stone进行,他们都是伯明翰大学安保和隐私小组的成员。

Tom Chothia博士说:“总的来说,我们检查的应用程序的安全性非常好,我们发现的漏洞很难被发现,而且由于我们开发的新工具,我们只能找到这么多的弱点”他补充说“这是不可能的判断这些漏洞是否被利用,但是如果它们是攻击者,则可以访问连接到受感染网络的任何人的银行应用程序。“

Flavio Garcia博士说:“证书固定是一种提高连接安全性的好方法,但在这种情况下,它使渗透测试人员很难识别出没有正确主机名验证的更严重问题”

Chris McMahon Stone说:“由于这个缺陷通常难以从正常的分析技术中检测到,我们开发了一种半自动化且易于操作的检测工具。这将有助于开发人员和渗透测试人员确保他们的应用程序能够抵御此攻击“。

1月份在金融密码学和数据安全会议上发表的论文“英国领先银行应用程序中TLS的安全性分析”中给出了一些初步结果,并将在“Spinner:半自动检测”一文中给出完整的结果。没有主机名验证的固定“正在奥兰多举行的第33届计算机安全应用大会上展示。