Категория > Новости > Мобильные приложения ряда крупных банков уязвимы перед MitM-атаками - «Новости»

Мобильные приложения ряда крупных банков уязвимы перед MitM-атаками - «Новости»


9-12-2017, 07:00. Автор: Barrington

Исследователи из университета Бирмингема опубликовали доклад (PDF), в котором предупредили, что некоторые мобильные приложения крупных банков, как для iOS, так и для Android, представляют угрозу для пользователей.


Из-за проблемы, обнаруженной специалистами, уже были обновлены приложения банков HSBC, NatWest, Co-op, Santander, а также Allied Irish.


В своем докладе группа исследователей рассказала, что все проблемные приложение были уязвимы перед атаками man-in-the-middle (MitM) из-за проблемы в реализации механизма привязки сертификатов (certificate pinning). По сути, атакующие, находящиеся в той же сети, что и их жертва, могли перехватывать и дешифровать SSL-соединения, а вместе с ними банковские учетные данные (пароли, логины, PIN-коды), даже если в приложении реализован механизм SSL pinning, который должен напротив защищать от MitM-атак.


Специалисты пишут, что создали для проверки приложений специальный инструмент, получивший название Spinner. Инструмент использует в работе движок IoT-поисковика Censys.





Тестирование показало, что из-за неверной реализации верификации имени хоста многие банковские приложения можно ввести в заблуждение: в сущности, они не проверяли, что соединяются с доверенным источником.


Кроме того, в приложениях банков Santander и Allied Irish была обнаружена уязвимость перед так называемым in-app фишингом. То есть злоумышленники имели возможность «подделать» часть экрана приложения и таким обманом выманить у пользователя учетные данные.


Источник новостиgoogle.com
Перейти обратно к новости