Kecacatan Keselamatan dalam 9 Aplikasi Perbankan Mungkin Telah Membocorkan Maklumat Pengguna 10 Juta

Kebanyakan, jika tidak semua, aplikasi sensitif keselamatan menggunakan apa yang dikenali sebagai sambungan TLS untuk membuat pautan yang disulitkan dengan selamat antara pelayan mereka dan telefon anda. Ini memastikan bahawa apabila anda, katakan, melakukan perbankan anda pada telefon anda, anda sebenarnya berkomunikasi dengan bank anda dan bukannya pelayan rawak, yang berpotensi berbahaya.

Terdapat satu masalah kecil: Menurut satu kertas kerja yang dibentangkan hari Rabu di Persidangan Aplikasi Keselamatan Komputer Tahunan di Orlando, para penyelidik di University of Birmingham telah menemui sembilan aplikasi perbankan popular yang tidak mengambil langkah berjaga-jaga yang sewajarnya ketika menyiapkan sambungan TLS mereka. Aplikasi ini mempunyai pangkalan pengguna gabungan sebanyak 10 juta orang, semua bukti kelayakan perbankannya boleh dikompromi jika cacat ini dieksploitasi.

"Ini serius, pengguna percaya bahawa bank-bank ini boleh melakukan keselamatan operasi mereka," kata Chris McMahon Stone, seorang pelajar komputer PhD di Universiti Birmingham. Songsang. "Kesilapan ini kini diperbetulkan, kami mendedahkannya kepada semua bank yang terlibat. Tetapi jika penyerang tahu mengenai kelemahan ini dan mengatakan pengguna sedang menjalankan apl ketinggalan zaman, maka ia akan menjadi agak mudah untuk mengeksploitasi. Satu-satunya keperluan ialah penyerang perlu berada di rangkaian yang sama seperti mangsa mereka, jadi seperti rangkaian WiFi awam.

Berikut adalah senarai aplikasi yang terjejas, setiap kertas.

Sambungan TLS sepatutnya memastikan bahawa apabila anda menaip maklumat log masuk bank anda, anda hanya menghantarnya ke bank anda dan tidak ada orang lain. Langkah berjaga-jaga keselamatan ini adalah proses dua langkah.

Ia bermula dengan bank atau entiti lain yang menghantar sijil yang ditandatangani secara kriptografi, mengesahkan bahawa mereka benar-benar adalah siapa yang mereka nyatakan. Tandatangan ini diberikan oleh pihak berkuasa perakuan, yang dipercayai pihak ketiga dalam proses ini.

Sebaik sahaja sijil ini dihantar - dan apl itu memastikan ia sah - nama hos pelayan mesti disahkan. Ini hanya semata-mata semak nama pelayan yang cuba anda sambungkan untuk memastikan anda tidak menjalin hubungan dengan orang lain.

Ini langkah kedua di mana bank-bank ini menjatuhkan bola.

"Sesetengah aplikasinya yang kami temui adalah memeriksa bahawa sijil telah ditandatangani dengan betul, tetapi mereka tidak memeriksa nama hos dengan betul," kata Stone. "Jadi mereka akan mengharapkan apa-apa sijil yang sah untuk mana-mana pelayan."

Ini bermakna seseorang penyerang boleh merosakkan sijil dan melancarkan serangan lelaki-dalam-tengah. Di mana penyerang menjadi tuan rumah sambungan antara bank dan pengguna. Ini akan memberi mereka akses kepada semua maklumat yang dihantar semasa sambungan itu.

Walaupun kecacatan ini telah diperbetulkan, jika anda menggunakan mana-mana aplikasi yang disenaraikan di atas anda mestilah pastikan apl anda dikemas kini untuk mendapatkan penetapannya. Batu juga sangat menggesa orang ramai untuk melakukan perbankan mudah alih mereka di rumah, satu rangkaian mereka sendiri untuk mengelakkan sebarang kemungkinan serangan orang tengah.

Tetap selamat di web, kawan-kawan.