Deficiențele de securitate din 9 aplicații bancare s-au scurs de informații despre 10 milioane de utilizatori

Cele mai multe, dacă nu toate, aplicațiile sensibile la securitate utilizează ceea ce se numește o conexiune TLS pentru a crea o legătură criptată în siguranță între serverele și telefonul dvs. Acest lucru vă asigură că, atunci când sunteți, să zicem, făcând bancare pe telefon, comunicați cu banca dvs. și nu cu un server aleator, potențial periculos.

Există doar o mică problemă: Potrivit unei lucrări prezentate miercuri la Conferința anuală de aplicații pentru securitatea calculatoarelor din Orlando, cercetătorii de la Universitatea din Birmingham au descoperit că nouă aplicații bancare populare nu au luat măsurile de precauție corespunzătoare atunci când au instalat conexiunea TLS. Aceste aplicații au o bază combinată de utilizatori de 10 milioane de persoane, toate ale căror acreditări de conectare bancare ar fi putut fi compromise dacă acest defect a fost exploatat.

"Acest lucru este serios, utilizatorii au încredere că aceste bănci își pot asigura securitatea operațiunilor", a declarat Chris McMahon Stone, student în domeniul securității informatice la Universitatea din Birmingham Invers. "Acest defect este acum stabilit, l-am dezvăluit tuturor băncilor implicate. Dar dacă un atacator știa despre această vulnerabilitate și spune că un utilizator rulează o aplicație învechită, atunci ar fi destul de banal să exploatezi. Singura cerință este că atacatorul ar trebui să se afle în aceeași rețea cu victima, ca de exemplu o rețea publică WiFi.

Iată lista cu aplicațiile afectate, pe hârtie.

Conexiunea TLS trebuie să vă asigure că, atunci când introduceți informațiile de conectare la bancă, îl trimiteți doar la banca dvs. și la nimeni altcineva. Această precauție de securitate este un proces în două etape.

Începe cu băncile sau alte entități care trimit un certificat semnat criptografic, verificând că sunt într-adevăr cei pe care ei pretind a fi. Aceste semnături sunt oferite de autoritățile de certificare, care sunt părți terțe de încredere în acest proces.

Odată ce acest certificat este trimis peste - și aplicația se asigură că este legit - numele de gazdă al serverului trebuie să fie verificat. Aceasta este pur și simplu doar verificarea numele serverului pe care încercați să vă conectați pentru a vă asigura că nu stabiliți o conexiune cu oricine altcineva.

Este cel de-al doilea pas în care aceste bănci au abandonat mingea.

"Unele dintre aceste aplicații pe care le descoperim verificau dacă certificatul a fost semnat corect, dar nu verificau corect numele de gazdă", spune Stone. "Deci se așteptau la orice certificat valid pentru orice server."

Asta înseamnă că un atacator ar putea să spioneze un certificat și să atace un atac de tip "om-in-the-middle". Unde atacatorul găzduiește conexiunea dintre bancă și utilizator. Acest lucru le-ar permite accesul toate informațiile trimise în timpul acestei conexiuni.

Deși acest defect a fost rectificat, dacă utilizați oricare dintre aplicațiile enumerate mai sus trebuie sa asigurați-vă că aplicația dvs. este actualizată pentru a obține remedierea. Piatra îi îndeamnă, de asemenea, pe oameni să își facă banii mobili la domiciliu, o rețea proprie, pentru a evita orice posibilitate a atacului om-în-mijloc.

Rămâi în siguranță pe web, prieteni.