Сигурносни пропуст у 9 банкарским апликацијама могао је процурити 10 милиона корисника

Већина, ако не и све, безбедносно осетљиве апликације користе оно што је познато као ТЛС веза да би креирали безбедно криптовану везу између својих сервера и телефона. Ово осигурава да када будете, рецимо, обављате своје послове на свом телефону, заправо комуницирате са банком, а не са неким случајним, потенцијално опасним сервером.

Постоји само један мали проблем: Према документу представљеном у среду на годишњој конференцији о апликацијама за безбедност рачунара у Орланду, истраживачи са Универзитета у Бирмингему открили су да девет популарних банкарских апликација не предузимају одговарајуће мере предострожности приликом постављања ТЛС везе. Ове апликације имају комбиновану корисничку базу од 10 милиона људи, чије су вјеродајнице за пријаву у банку могле бити угрожене ако се овај недостатак искористи.

"Ово је озбиљно, корисници вјерују да ове банке могу обавити сигурност својих операција", каже Цхрис МцМахон Стоне, студент докторских студија за рачуналну сигурност на Универзитету у Бирмингему. Инверсе. “Ова грешка је сада фиксна, ми смо је открили свим укљученим банкама. Али ако нападач зна за ову рањивост и каже да корисник користи застарјелу апликацију, онда би било прилично тривијално за експлоатацију. Једини услов је да нападач треба да буде на истој мрежи као и њихова жртва, као и јавна ВиФи мрежа.

Ево листе погођених апликација, на папиру.

ТЛС веза треба да обезбеди да када укуцате податке за пријаву у банку, шаљете је само својој банци и ником другом. Ова сигурносна мјера је процес у два корака.

Почиње са банкама или другим ентитетима који шаљу преко криптографски потписаног цертификата, потврђујући да су они заиста они за које тврде да су. Ове потписе издају ауторитети за издавање цертификата, који су у том процесу поуздане треће стране.

Када се овај цертификат пошаље преко апликације - и апликација се увери да је легитимна - мора се потврдити име хоста сервера. Ово је једноставно проверавање имена сервера који покушавате да повежете да бисте били сигурни да не успостављате везу са било ким другим.

Ово је други корак у коме су те банке одбациле лопту.

"Неке од ових апликација које смо открили проверавају да ли је сертификат исправно потписан, али нису исправно проверавали име хоста", каже Стоне. "Дакле, очекују било који важећи сертификат за било који сервер."

То значи да нападач може да лажи цертификат и да монтира напад човека у средини. Када нападач хостује везу између банке и корисника. То би им омогућило приступ све информације послане током те везе.

Иако је ова грешка исправљена, ако користите било коју од горе наведених апликација муст проверите да ли је ваша апликација ажурирана да бисте добили поправку. Стоне такође снажно позива људе да раде своје мобилно банкарство код куће, једну своју мрежу да би избегли било какве могућности напада на човека у средини.

Останите сигурни на вебу, пријатељи.