Мобильные приложения крупнейших банков мира оказались уязвимы

678 0

Согласно опубликованным данным, уязвимые приложения могли позволить злоумышленнику, подключенному к той же сети в качестве жертвы, перехватить SSL-соединение и получить банковские данные пользователя (имя, пароль/пин-код), даже если приложение использует пиннинговую функцию защищенного соединения, которая предотвращает атаки путем обеспечения дополнительного уровня доверия между хостами и устройствами.

На данный момент существуют два основных способа проверки SSL-соединения: первый – аутентификация, чтобы проверить, происходит ли соединение из доверенного источника, и второй – авторизация, чтобы убедиться, что сервер предоставляет свое разрешение на пользование. Исследователи обнаружили, что несколько банковских приложений не проверяли, подключены ли они к доверенному источнику.

Для быстрого тестирования уязвимости без необходимости приобретения сертификатов исследователи создали новый автоматизированный инструмент Spinner. «Учитывая соединение для целевого домена, инструмент запрашивает цепочки соединений для альтернативных узлов, которые отличаются только конечным соединением. Затем средство перенаправляет трафик из тестируемого приложения на веб-сайт с соединением, подписанным тем же сертификатом CA, но, конечно, с другим именем хоста (общим именем). Если подключение не удается на этапе установки, то мы знаем, приложение обнаружило неправильное имя хоста и уязвимо».

Подписываемся, следим @CyberAgency

Related Post

Призывникам запретят делать селфи, чтобы не выдавать гостайны

Опубликовано - 14.02.2018 0
Минобороны собирается запретить военным пользоваться соцсетями и ограничить им доступ в интернет. Законопроект уже в разработке. Пока выпустили рекомендации. То…

Зловещий оскал джакузи: ИБ-специалисты продолжают развлекаться под Новый Год

Опубликовано - 26.12.2018 0
После взлома новогодней гирлянды какой следующий логический шаг для специалистов по кибербезопасности, которые уже, видимо, открыли шампанское? Правильно, взломать умную…

Добавить комментарий