2014年8月4日 星期一

iOS平臺手機銀行App 存在安全風險漏洞



1月15日消息,據國外媒體報道,蘋果iPhone或iPad用戶請註意瞭,iOS版本手機銀行存在安全風險漏洞。研究機構IOActive Labs研究人員阿裡爾·桑切斯(Ariel Sanchez)對40款移動銀行應用進行瞭測試,與這些應用有關聯的銀行為全球最具影響力的60傢銀行。





起初,桑切斯對在iOS銀行應用中發現其中很多的銀行都未實施基本的安全保護措施,盡管在通知瞭這些易受攻擊漏洞之後情況依然未變。



桑切斯並未對發現的銀行應用漏洞進行詳細的研究,也未展示如何利用這些漏洞。他對40款iOS移動銀行應用的安全性進行瞭40個小時的測試,所有的這些應用都允許安裝在一款越獄的iOS設備上。對此,他建議iOS設備應進行防越獄保護。





接下來對每款應用的客戶端進行瞭測試:運輸安全性、編譯器保護、UIWebViews、不安全數據存儲、記錄以及二進制分析。在運行測試中,包括驗證是否會有敏感信息被發送至未經加密的數據中;會話是否安全以及SSL證書是否經恰當處理。用戶可能不會對這些感興趣,相反會將這些應用具備合理的安全性視為理所當然的事。



桑切斯發現,40%的經審核應用都未驗證SSL證書的可靠性,這使得這些應用十分容易遭受MiTM攻擊。90%的應用包括數個覆蓋整個應用的非SSL連接,黑客可能據此偽造登錄提升或類似的騙局。





更糟糕的是,他在這些應用的代碼中發現瞭硬核憑據,通過使用硬核憑據,黑客能夠獲得接入這些銀行開發基礎架構的機會,從而利用惡意軟件幹擾相關軟件,並導致所有應用的用戶出現大規模的感染情形。







或許你聽到過多次多因子身份驗證方式,但70%的被測試應用沒有替代的驗證解決方案來幫助用戶“緩和模擬攻擊的風險”。





Orignal From: iOS平臺手機銀行App 存在安全風險漏洞

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。