Контакти Новини Акції Укр Рус
Контакт: +380503703627 info@itpro.ua
+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Клієнти банків ризикують залишитись без грошей. Критична вразливість у додатках для банкінгу.

У додатках таких банків як HSBC, NatWest, Co-op, Santander та AIB знайдено вразливість, яку неможливо виявити звичайними засобами перевірки. Вона дозволяє хакеру викрасти персональні дані та здійснити будь-яку операцію у додатку.

«Дірка» у банківських додатках

Критична вразливість у додатках відомих банків дозволяє зловмиснику викрасти персональні дані користувача, включаючи ім'я, пароль та пін-код. Вразливість було знайдено у додатках таких банків як Банківська корпорація Гонконгу та Шанхаю (HSBC), Національний банк Вестмінстера (NatWest), британський Co-operative, Bank of America Health, найбільший банк Іспанії Santander та найбільший банк Ірландії Allied Irish bank (AIB). /p>

Загроза виявлена ​​у програмах як для iOS, так і для Android. Про неї повідомили дослідники з Групи безпеки та приватності Бірмінгемського університету.

Як це працює

Окрім крадіжки персональних даних хакер може дешифрувати, переглядати та модифікувати весь мережевий трафік, що йде від програми, та здійснювати будь-які операції, які можна здійснювати через програму. У випадку Santander і AIB хакер також може провести фішингову атаку прямо в додатку, захопивши контроль над частиною екрана.

Вразливість дозволяє зловмиснику, який знаходиться в тій же мережі, що й жертва, зайняти позицію «людини посередині», щоб викрасти дані. Це стає можливим завдяки багу в пінінгу сертифікату. Пінінг сертифіката — це впровадження SSL-сертифіката, що використовується на сервері, в код мобільного додатка. Зазвичай ця практика є зміцненням безпеки.

Історія виявлення

Дослідникам з Бірмінгемського університету вдалося створити інструмент для напівавтоматичного тестування безпеки мобільних додатків щодо наявності даної вразливості. Звичайними антивірусами дії "людини посередині" у цьому випадку не помічаються. Пінінг сертифікату здатний приховати відсутність належної верифікації імені хоста, що й робить атаку можливою.

Протестувавши загалом 400 додатків, дослідники виявили цей баг у низці банківських продуктів. За словами авторів проекту, загалом із безпекою цих продуктів все гаразд, просто знайдена «дірка» справді не піддавалася виявленню.

Як повідомляють дослідники, повідомлені банки охоче пішли на співпрацю з університетом, Національним центром кібербезпеки та один з одним для якнайшвидшої ліквідації вразливості.

Інші новини

Найкраща ціна
VRScans
Chaos Group
VRScans
4 514.00 грн
VRScans
Chaos Group
VRScans
5 016.00 грн
VRScans
Chaos Group
VRScans
9 576.00 грн