Мобильные приложения крупнейших банков мира оказались уязвимы

640 0

Согласно опубликованным данным, уязвимые приложения могли позволить злоумышленнику, подключенному к той же сети в качестве жертвы, перехватить SSL-соединение и получить банковские данные пользователя (имя, пароль/пин-код), даже если приложение использует пиннинговую функцию защищенного соединения, которая предотвращает атаки путем обеспечения дополнительного уровня доверия между хостами и устройствами.

На данный момент существуют два основных способа проверки SSL-соединения: первый – аутентификация, чтобы проверить, происходит ли соединение из доверенного источника, и второй – авторизация, чтобы убедиться, что сервер предоставляет свое разрешение на пользование. Исследователи обнаружили, что несколько банковских приложений не проверяли, подключены ли они к доверенному источнику.

Для быстрого тестирования уязвимости без необходимости приобретения сертификатов исследователи создали новый автоматизированный инструмент Spinner. «Учитывая соединение для целевого домена, инструмент запрашивает цепочки соединений для альтернативных узлов, которые отличаются только конечным соединением. Затем средство перенаправляет трафик из тестируемого приложения на веб-сайт с соединением, подписанным тем же сертификатом CA, но, конечно, с другим именем хоста (общим именем). Если подключение не удается на этапе установки, то мы знаем, приложение обнаружило неправильное имя хоста и уязвимо».

Подписываемся, следим @CyberAgency

Related Post

Последние камни в Паноптикум: российские автобусы научат распознавать лица

Опубликовано - 01.10.2018 0
В Петербурге тестируют новую систему видеоконтроля, которую будут применять на общественном транспорте. Разработал его холдинг «Росэлектроника» и его дочерняя компания…

Авиаиндустрия потратила в 2018 году $3,9 млрд на кибербезопасность – это много или катастрофически мало?

Опубликовано - 29.11.2018 0
Все авиакомпании и аэропорты мира в 2018 году инвестировали в сферу кибербезопасности $3,9 млрд, сообщается в отчете SITA, швейцарской многонациональной…

The Lazarus Group действует в духе современного каперства

Опубликовано - 19.12.2017 0
Печально известная северокорейская хакерская группа The Lazarus проводит очередную кампанию, нацеленную на руководителей криптовалютных организаций. Широкую известность группа приобрела благодаря…

Добавить комментарий