知名银行App被曝漏洞,上千万用户面临密码盗窃风险

E安全12月9日讯 英国伯明翰大学研究人员年发布的报告显示,汇丰银行(HSBC)、Natwest和Co-op银行使用的App应用程序存在严重漏洞,允许黑客窃取用户名和密码。

9款App应用存在漏洞

研究人员开发了一款名为“Spinner”,能对App进行半自动化安全测试。研究人员利用Spinner对400款Android和iPhone应用程序进行了分析,结果发现9款应用存在一个重大漏洞,包括美国银行(Bank of America)和汇丰银行这两家大型银行的App。此外,国外相当热门的VPN应用程序TunnelBear也已遭受黑客入侵。这些存在漏洞的App现已被修复。

这些App的用户量共达到数千万,一旦被利用,黑客可连接到受害者的网络,例如工作场所或咖啡店的公共无线网络,以此执行中间人攻击获取用户名、密码和PIN码。

缺乏适当的证书主机名验证,再加上安全性要求较高的App逐渐使用 “证书锁定”(Certificate Pinning)技术,这样一来标准测试便无法检测到严重的漏洞,从而允许攻击者控制受害者的网上银行。研究人员指出,黑客可利用该漏洞解密、查看并修改网络流量。

专家发现桑坦德银行(Santander)和爱尔兰联合银行(Allied Irish)提供的App被发现“应用程序内网络钓鱼攻击”漏洞。这些漏洞会使攻击者在App运行时控制部分屏幕,并借此获取受害者的登录凭证。

涉“资金”的App应及时更新

美国银行通过电子邮件向英国媒体IBTimes UK发表声明指出,美国银行Health App中发现的漏洞两年之前就已解决。银行自2017年6月开始不再提供这款应用,客户信息未受到影响。

英国伯明翰大学的研究人员12月6日表示,已与英国国家网络安全中心(NCSC)解决修复漏洞,并确保将补丁推送给用户。受影响的银行已参与到修复过程当中,所有网上银行用户被敦促安装更新,未安装补丁的用户将会面临风险。

伯明翰大学的研究人员汤姆·乔西亚表示,总的来说,他们研究的App安全性很好,而发现的漏洞是难以检测的漏洞,或许只能被这款新工具检测到。研究人员无法判断这些漏洞是否被利用。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1709821519.shtml

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171209A085KD00?refer=cp_1026

扫码关注云+社区