2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
伯明翰大學(xué)的研究人員開(kāi)發(fā)了一種工具,可以對(duì)手機(jī)應(yīng)用程序進(jìn)行半自動(dòng)安全測(cè)試。在對(duì)400個(gè)安全關(guān)鍵應(yīng)用程序的示例運(yùn)行該工具后,他們能夠識(shí)別銀行應(yīng)用程序中的關(guān)鍵漏洞; 包括來(lái)自匯豐銀行,NatWest,合作社和美國(guó)銀行健康的應(yīng)用程序。
此漏洞允許與受害者(例如,公共WiFi或公司)連接到同一網(wǎng)絡(luò)的攻擊者執(zhí)行所謂的“中間人攻擊”并檢索用戶的憑據(jù),例如用戶名和密碼/密碼。
研究人員發(fā)現(xiàn)銀行已經(jīng)在他們的應(yīng)用程序的安全性方面付出了很多努力,但是使用的一種特殊技術(shù) - 所謂的“證書(shū)固定” - 通常可以提高安全性,這意味著標(biāo)準(zhǔn)測(cè)試無(wú)法檢測(cè)到可能存在的嚴(yán)重漏洞讓攻擊者控制受害者的網(wǎng)上銀行。
測(cè)試發(fā)現(xiàn),來(lái)自世界上一些大型銀行的應(yīng)用程序包含此漏洞,如果被利用,可能使攻擊者能夠解密,查看和修改來(lái)自應(yīng)用程序用戶的網(wǎng)絡(luò)流量。具有此功能的攻擊者因此可以執(zhí)行通常在應(yīng)用程序上可能執(zhí)行的任何操作。
還發(fā)現(xiàn)了其他攻擊,包括針對(duì)桑坦德和愛(ài)爾蘭聯(lián)合銀行的“應(yīng)用網(wǎng)絡(luò)釣魚(yú)攻擊”。這些攻擊會(huì)讓攻擊者在應(yīng)用程序運(yùn)行時(shí)接管部分屏幕,并使用此攻擊來(lái)獲取受害者的登錄憑據(jù)。
研究人員與相關(guān)銀行以及英國(guó)政府的國(guó)家網(wǎng)絡(luò)安全中心合作修復(fù)了所有漏洞,受此固定漏洞影響的所有應(yīng)用程序的當(dāng)前版本現(xiàn)在都是安全的。
研究人員建議銀行應(yīng)用程序的所有用戶確保他們始終使用最新版本的應(yīng)用程序,并且他們總是在提供升級(jí)后立即安裝升級(jí)。
該研究由Tom Chothia博士,F(xiàn)lavio Garcia博士和博士候選人Chris McMahon Stone進(jìn)行,他們都是伯明翰大學(xué)安保和隱私小組的成員。
Tom Chothia博士說(shuō):“總的來(lái)說(shuō),我們檢查的應(yīng)用程序的安全性非常好,我們發(fā)現(xiàn)的漏洞很難被發(fā)現(xiàn),而且由于我們開(kāi)發(fā)的新工具,我們只能找到這么多的弱點(diǎn)”他補(bǔ)充說(shuō)“這是不可能的告訴我們這些漏洞是否被利用,但如果他們是攻擊者,則可以訪問(wèn)連接到受感染網(wǎng)絡(luò)的任何人的銀行應(yīng)用程序“。
Flavio Garcia博士說(shuō):“證書(shū)固定是一種提高連接安全性的好方法,但在這種情況下,它使?jié)B透測(cè)試人員很難識(shí)別出沒(méi)有正確主機(jī)名驗(yàn)證的更嚴(yán)重問(wèn)題”
Chris McMahon Stone說(shuō):“由于這個(gè)缺陷通常難以從正常的分析技術(shù)中檢測(cè)到,我們開(kāi)發(fā)了一種半自動(dòng)化且易于操作的檢測(cè)工具。這將有助于開(kāi)發(fā)人員和滲透測(cè)試人員確保他們的應(yīng)用程序能夠抵御此攻擊“。
1月份在金融密碼學(xué)和數(shù)據(jù)安全會(huì)議上發(fā)表的論文“英國(guó)領(lǐng)先銀行應(yīng)用程序中TLS的安全性分析”中給出了一些初步結(jié)果,并將在“Spinner:半自動(dòng)檢測(cè)”一文中給出完整的結(jié)果。沒(méi)有主機(jī)名驗(yàn)證的固定“將于周三在奧蘭多舉行的第33屆計(jì)算機(jī)安全應(yīng)用大會(huì)上公布。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。