Клієнти банків ризикують залишитись без грошей. Критична вразливість у додатках для банкінгу.
«Дірка» у банківських додатках
Критична вразливість у додатках відомих банків дозволяє зловмиснику викрасти персональні дані користувача, включаючи ім'я, пароль та пін-код. Вразливість було знайдено у додатках таких банків як Банківська корпорація Гонконгу та Шанхаю (HSBC), Національний банк Вестмінстера (NatWest), британський Co-operative, Bank of America Health, найбільший банк Іспанії Santander та найбільший банк Ірландії Allied Irish bank (AIB). /p>
Загроза виявлена у програмах як для iOS, так і для Android. Про неї повідомили дослідники з Групи безпеки та приватності Бірмінгемського університету.
Як це працює
Окрім крадіжки персональних даних хакер може дешифрувати, переглядати та модифікувати весь мережевий трафік, що йде від програми, та здійснювати будь-які операції, які можна здійснювати через програму. У випадку Santander і AIB хакер також може провести фішингову атаку прямо в додатку, захопивши контроль над частиною екрана.
Вразливість дозволяє зловмиснику, який знаходиться в тій же мережі, що й жертва, зайняти позицію «людини посередині», щоб викрасти дані. Це стає можливим завдяки багу в пінінгу сертифікату. Пінінг сертифіката — це впровадження SSL-сертифіката, що використовується на сервері, в код мобільного додатка. Зазвичай ця практика є зміцненням безпеки.
Історія виявлення
Дослідникам з Бірмінгемського університету вдалося створити інструмент для напівавтоматичного тестування безпеки мобільних додатків щодо наявності даної вразливості. Звичайними антивірусами дії "людини посередині" у цьому випадку не помічаються. Пінінг сертифікату здатний приховати відсутність належної верифікації імені хоста, що й робить атаку можливою.
Протестувавши загалом 400 додатків, дослідники виявили цей баг у низці банківських продуктів. За словами авторів проекту, загалом із безпекою цих продуктів все гаразд, просто знайдена «дірка» справді не піддавалася виявленню.
Як повідомляють дослідники, повідомлені банки охоче пішли на співпрацю з університетом, Національним центром кібербезпеки та один з одним для якнайшвидшої ліквідації вразливості.