Säkerhetsfel i 9 bankapplikationer kan ha läckt 10 miljoner användarinfo

$config[ads_kvadrat] not found

ГРАФИКА XBOX SERIES S | СРАВНЕНИЕ С XBOX ONE S

ГРАФИКА XBOX SERIES S | СРАВНЕНИЕ С XBOX ONE S
Anonim

De flesta, om inte alla, säkerhetskänsliga appar använder det som kallas en TLS-anslutning för att skapa en säkert krypterad länk mellan sina servrar och din telefon. Detta säkerställer att när du säger, gör din bank på din telefon, kommunicerar du faktiskt med din bank och inte någon slumpmässig, potentiellt farlig server.

Det finns bara ett litet problem: Enligt en tidning som presenterades onsdagen vid den årliga datorsäkerhetsapplikationskonferensen i Orlando har forskare vid University of Birmingham funnit att nio populära bankapps inte har vidtagit de korrekta försiktighetsåtgärderna vid upprättandet av TLS-anslutningen. Dessa appar har en kombinerad användargrund på 10 miljoner människor, vars alla inloggningsuppgifter för banker kunde ha äventyras om denna fel utnyttjades.

"Det här är allvarligt, användarna litar på att dessa banker kan göra sin verksamhet säker," berättar Chris McMahon Stone, en doktorand doktorand vid University of Birmingham, Omvänd. "Denna fel är nu fastställd, vi avslöjade det för alla berörda banker. Men om en angripare visste om denna sårbarhet och säger att en användare kör en gammal app, skulle det vara ganska trivialt att utnyttja. Det enda kravet är att angriparen skulle vara på samma nätverk som sitt offer, så som ett offentligt WiFi-nätverk.

Här är listan över berörda appar, per papperet.

TLS-anslutning ska säkerställa att när du skriver in din bankinloggningsinformation skickar du bara den till din bank och ingen annan. Denna säkerhetsåtgärd är en tvåstegsprocess.

Det börjar med banker eller andra enheter som skickar över ett kryptografiskt signerat certifikat och verifierar att de verkligen är vem de hävdar vara. Dessa signaturer ges av certifikatmyndigheterna, som är betrodda tredje parter i denna process.

När det här certifikatet skickats över - och appen ser till att den är legitim - måste serverns värdnamn verifieras. Det här är helt enkelt bara att kontrollera namnet på servern som du försöker ansluta för att se till att du inte etablerar en anslutning med någon annan.

Det är det andra steget där dessa banker släppte bollen.

"Några av dessa appar som vi upptäckte kontrollerade att certifikatet var korrekt undertecknat, men de kontrollerade inte värdnamnet ordentligt", säger Stone. "Så de skulle förvänta sig något giltigt certifikat för någon server."

Det betyder att en angripare kan spoof ett certifikat och monterar en man-i-mitten attack. Där attacken är värd för förbindelsen mellan banken och användaren. Detta skulle ge dem tillgång till Allt Informationen som skickas under den anslutningen.

Medan denna fel har åtgärdats, om du använder någon av de appar som listas ovanför dig måste se till att din app är uppdaterad för att få korrigeringen. Stone uppmanar också starkt folk att göra sin mobila bank hemma, ett eget nätverk för att undvika möjligheter till en man-i-mitten attack.

Håll dig säker på webben, vänner.

$config[ads_kvadrat] not found