V devíti bankovních aplikacích se může stát, že bezpečnost Flaw v 9 bankovních aplikacích unikla informacím o 10 milionech uživatelů

$config[ads_kvadrat] not found
Anonim

Většina aplikací, které nejsou citlivé na zabezpečení, používá k vytvoření bezpečně šifrovaného spojení mezi servery a telefonem to, co je známo jako připojení TLS. Tím zajistíte, že když řeknete, že děláte své bankovnictví ve svém telefonu, ve skutečnosti komunikujete se svou bankou a ne s nějakým náhodným, potenciálně nebezpečným serverem.

Je tu jen jeden malý problém: Podle dokumentu, který byl představen ve středu na výroční konferenci o aplikacích v oblasti počítačové bezpečnosti v Orlandu, výzkumníci z University of Birmingham zjistili, že devět populárních bankovních aplikací neučinilo při nastavování připojení TLS vhodná opatření. Tyto aplikace mají kombinovanou uživatelskou základnu 10 milionů lidí, z nichž všechny by mohly být ohroženy, pokud by tato chyba byla zneužita.

"Je to vážné, uživatelé věří, že tyto banky mohou dělat své bezpečnostní operace," říká Chris McMahon Stone, doktorand PhD počítačové bezpečnosti na univerzitě v Birminghamu. Inverzní. „Tato chyba je nyní opravena, my jsme ji poskytli všem zúčastněným bankám. Pokud by však útočník věděl o této zranitelnosti a říkal, že uživatel provozuje zastaralé aplikace, bylo by to docela triviální využít. Jediným požadavkem je, aby útočník musel být ve stejné síti jako jejich oběť, tak jako veřejná WiFi síť.

Zde je seznam postižených aplikací na papír.

Spojení TLS má zajistit, že když zadáte přihlašovací údaje své banky, odešlete je pouze do vaší banky a nikomu jinému. Toto bezpečnostní opatření je dvoustupňový proces.

Začíná bankami nebo jinými subjekty, které posílají přes kryptograficky podepsaný certifikát a ověřují, že skutečně jsou tím, za koho mají nárok. Tyto podpisy vydávají certifikační orgány, které jsou v tomto procesu důvěryhodnými třetími stranami.

Jakmile je tento certifikát odeslán - a aplikace se ujistí, že je legit - legitím, musí být ověřeno jméno hostitele serveru. Stačí pouze zkontrolovat název serveru, ke kterému se pokoušíte připojit, abyste se ujistili, že navazujete spojení s nikým jiným.

Je to tento druhý krok, kdy tyto banky upustily míč.

„Některé z těchto aplikací, které jsme zjistili, kontrolovaly, zda byl certifikát správně podepsán, ale správný název hostitele nekontrolují,“ říká Stone. "Takže by očekávali platný certifikát pro jakýkoliv server."

To znamená, že útočník by mohl podvrhnout certifikát a připojit útoku člověk-in-the-middle. Kde útočník hostí spojení mezi bankou a uživatelem. To by jim umožnilo přístup Všechno informace odeslané během tohoto spojení.

Tato chyba byla napravena, pokud používáte některou z aplikací uvedených výše musí Ujistěte se, že vaše aplikace je aktualizována, aby se oprava. Stone také naléhavě vyzývá lidi, aby své mobilní bankovnictví prováděli doma, jednu ze svých vlastních sítí, aby se vyhnuli jakýmkoli možnostem útoku na člověka.

Buďte na internetu v bezpečí, přátelé.

$config[ads_kvadrat] not found