Согласно опубликованным данным, уязвимые приложения могли позволить злоумышленнику, подключенному к той же сети в качестве жертвы, перехватить SSL-соединение и получить банковские данные пользователя (имя, пароль/пин-код), даже если приложение использует пиннинговую функцию защищенного соединения, которая предотвращает атаки путем обеспечения дополнительного уровня доверия между хостами и устройствами.
На данный момент существуют два основных способа проверки SSL-соединения: первый – аутентификация, чтобы проверить, происходит ли соединение из доверенного источника, и второй – авторизация, чтобы убедиться, что сервер предоставляет свое разрешение на пользование. Исследователи обнаружили, что несколько банковских приложений не проверяли, подключены ли они к доверенному источнику.
Для быстрого тестирования уязвимости без необходимости приобретения сертификатов исследователи создали новый автоматизированный инструмент Spinner. «Учитывая соединение для целевого домена, инструмент запрашивает цепочки соединений для альтернативных узлов, которые отличаются только конечным соединением. Затем средство перенаправляет трафик из тестируемого приложения на веб-сайт с соединением, подписанным тем же сертификатом CA, но, конечно, с другим именем хоста (общим именем). Если подключение не удается на этапе установки, то мы знаем, приложение обнаружило неправильное имя хоста и уязвимо».
