Порушення безпеки в 9 банківських додатках можуть просочити інформацію про 10 мільйонів користувачів

Більшість, якщо не всі, додатків безпеки, що використовують безпеку, використовують те, що відоме як з'єднання TLS для створення надійно зашифрованого зв'язку між їхніми серверами та телефоном. Це гарантує, що коли ви, скажімо, займаєтеся банківською діяльністю на своєму телефоні, ви фактично спілкуєтеся з вашим банком, а не випадковим, потенційно небезпечним сервером.

Існує лише одна невелика проблема: за даними статті, представленої в середу на щорічній конференції з питань застосування комп'ютерної безпеки в Орландо, дослідники з університету Бірмінгема виявили, що дев'ять популярних банківських програм не приймають належних заходів безпеки під час встановлення з'єднання TLS. Ці програми мають об'єднану базу користувачів на 10 мільйонів людей, всі з яких можуть бути скомпрометовані, якщо цей недолік був використаний.

"Це серйозно, користувачі вірять, що ці банки можуть виконувати свої операції безпеки", - розповідає Кріс Макмеон Стоун, студент докторанта з комп'ютерної безпеки Бірмінгемського університету. Обернено. «Цей недолік зараз виправлено, ми розкрили його всім залученим банкам. Але якщо зловмисник знав про цю вразливість і сказав, що користувач працює з застарілою програмою, то було б досить тривіально експлуатувати. Єдина вимога полягає в тому, що зловмисник повинен бути в тій же мережі, що й жертва, так само як і громадська мережа WiFi.

Ось список пошкоджених додатків на папері.

Підключення TLS має гарантувати, що під час введення інформації про реєстрацію банку ви надсилаєте її лише банку і нікому іншому. Цей запобіжний захід є двоступінчастим процесом.

Вона починається з того, що банки або інші суб'єкти надсилають надто криптографічно підписаний сертифікат, перевіряючи, що вони дійсно є тими, кого вони вважають. Ці підписи видаються органами сертифікації, довіреним третім сторонам у цьому процесі.

Як тільки цей сертифікат буде надіслано, - і програма переконається, що вона є законною - ім'я хоста сервера має бути перевірено. Це просто перевірка назви сервера, який ви намагаєтеся підключитися, щоб переконатися, що ви не встановлюєте зв'язок з ким-небудь іншим.

Це другий крок, коли ці банки кинули м'яч.

"Деякі з цих програм, які ми виявили, перевіряли правильність підписання сертифіката, але вони не перевіряли належним чином ім'я хоста", - говорить Стоун. "Тому вони очікують будь-якого дійсного сертифіката для будь-якого сервера".

Це означає, що зловмисник може підмінити сертифікат і змонтувати атаку "людина-в-середині". Якщо зловмисник розміщує зв'язок між банком і користувачем. Це дало б їм доступ все інформацію, надіслану під час цього з'єднання.

Хоча цей недолік було виправлено, якщо ви використовуєте будь-яке з перелічених вище програм обов'язково переконайтеся, що оновлення оновлено, щоб отримати виправлення. Стоун також наполегливо закликає людей робити свій мобільний банк вдома, один - свою власну мережу, щоб уникнути будь-яких можливостей атаки «людина-в-середині».

Будьте в безпеці в мережі, друзі.