Проблемът със сигурността в 9-те приложения за банкиране може да е изтекъл с информация за 10 милиона потребители

Повечето, ако не всички, чувствителни към сигурността приложения използват това, което е известно като TLS връзка, за да създадат сигурно криптирана връзка между техните сървъри и телефона. Това гарантира, че когато, да речем, правите банкови услуги на телефона си, всъщност общувате с банката си, а не с някакъв случаен, потенциално опасен сървър.

Има само един малък проблем: Според доклад, представен в сряда на годишната конференция за приложения за компютърна сигурност в Орландо, изследователи от университета в Бирмингам са открили, че девет популярни банкови приложения не са взели необходимите предпазни мерки при създаването на тяхната TLS връзка. Тези приложения имат комбинирана потребителска база от 10 милиона души, всички чиито идентификационни данни за банкова регистрация биха могли да бъдат компрометирани, ако този недостатък бъде използван.

"Това е сериозно, потребителите вярват, че тези банки могат да направят сигурността на своите операции," казва Крис Макмеън Стоун, докторант по компютърна сигурност в университета в Бирмингам. обратен, „Този ​​недостатък сега е фиксиран, разкрихме го на всички участващи банки. Но ако един атакуващ знае за тази уязвимост и казва, че потребителят работи с остаряло приложение, тогава би било доста тривиално да се експлоатира. Единственото изискване е, че нападателят трябва да бъде в една и съща мрежа като жертва, така както обществена WiFi мрежа.

Ето списъка на засегнатите приложения на хартия.

TLS връзката трябва да гарантира, че когато въвеждате данните си за вход в банката, вие я изпращате само на банката си и никой друг. Тази предпазна мярка е двуетапен процес.

Тя започва с банки или други организации, които изпращат сертификат за криптографски подписа, удостоверяващ, че те наистина са тези, за които твърдят, че са. Тези подписи се дават от сертифициращите органи, които са доверени трети страни в този процес.

След като този сертификат бъде изпратен - а приложението се увери, че е валиден - трябва да се провери името на хоста на сървъра. Това е просто проверка на името на сървъра, който се опитвате да свържете, за да се уверите, че не установявате връзка с никой друг.

Това е втората стъпка, когато тези банки отпаднаха.

„Някои от тези приложения, които открихме, проверяват дали сертификатът е правилно подписан, но не са правилно проверявали името на хоста“, казва Стоун. "Така че те очакват всеки валиден сертификат за всеки сървър."

Това означава, че атакуващият може да измисли сертификат и да монтира атака „човек в средата“. Когато нападателят е домакин на връзката между банката и потребителя. Това ще им даде достъп до тях всичко информацията, изпратена по време на тази връзка.

Докато този недостатък е отстранен, ако използвате някое от приложенията, изброени по-горе трябва да уверете се, че приложението ви е актуализирано, за да получите поправка. Стоун също така настоятелно призовава хората да извършват мобилното си банкиране у дома си, една от тях - собствена мрежа, за да избегнат всякакви възможности за атака от човек в средата.

Бъдете в безопасност, приятели.