Man-in-the-middle-fout links smartphone banking apps kwetsbaar

0
6

Nul

istock-mobile-banking.jpg

De kwetsbaarheid van mogelijk 10 miljoen bankieren app-gebruikers aan het risico van aanvallen.

Beeld: iStock

Een kwetsbaarheid in de smartphone banking apps van grote banken zou hebben toegestaan aanvallers te stelen referenties van de gebruiker, inclusief gebruikersnaam, wachtwoord en pin-code, aldus de onderzoekers.

Het lek werd gevonden in apps door HSBC, NatWest, Co-op Bank of America en Gezondheid, Santander, Allied Irish bank. De banken hebben al een update van hun apps te beschermen tegen dit nu.

Ontdekt door onderzoekers in de Beveiliging en Privacy van de Groep aan de Universiteit van Birmingham, de kwetsbaarheid kan een aanvaller die op het netwerk van het slachtoffer uit te voeren een man-in-het-midden-aanval en informatie te stelen.

De kwetsbaarheid lag in het certificaat pinning technologie, een beveiliging mechanisme gebruikt om te voorkomen dat imitatie-aanvallen en het gebruik van frauduleuze certificaten door alleen het aanvaarden van certificaten die zijn ondertekend door een enkele opgespeld CA root certificaat.

Terwijl het certificaat pinning meestal verbetert de beveiliging, een tool ontwikkeld door de onderzoekers voor het uitvoeren van semi-geautomatiseerde beveiliging-het testen van mobiele apps te vinden die een fout in de technologie bedoeld standaard tests mislukt te detecteren aanvallers proberen om de controle van een slachtoffer van online bankieren. Als een resultaat, certificaat-pinning ‘ kunt u het verbergen van het ontbreken van de juiste hostnaam verificatie, waardoor de man-in-the-middle-aanvallen.

De bevindingen zijn beschreven in een research paper en presentatie op de Jaarlijkse Computer Security Applications-Conferentie in Orlando, Florida. Het hulpprogramma is uitgevoerd op 400 beveiliging kritische apps in totaal, wat leidt tot de ontdekking van de fout.

Zie ook: Wat is phishing? Alles wat je moet weten om jezelf te beschermen tegen scam e-mails en meer

“In het algemeen de veiligheid van de toepassingen die we onderzocht was zeer goed, de kwetsbaarheden die we vonden, waren moeilijk te detecteren, en daar kunnen we alleen vinden zo veel zwakheden door de nieuwe tools die wij ontwikkeld”, aldus Dr. Tom Chothia, docent aan de universiteit en een van de auteurs van het rapport.

“Het is onmogelijk om te zeggen of deze kwetsbaarheden werden uitgebuit, maar als ze de aanvallers konden hebben toegang tot de bankieren app van iedereen die verbonden is aan een besmette netwerk”, voegde hij eraan toe.

Tests gevonden apps uit enkele van de grootste banken die de fout, die als ze benut zou kunnen worden ingeschakeld aanvallers te decoderen, te zien en zelfs te wijzigen netwerk verkeer van de gebruikers van de app, waardoor zij ingevoerde gegevens en het uitvoeren van een bewerking die app kan meestal uit te voeren – zoals betalingen of de overdracht van middelen.

Andere aanvallen mag hackers uit te voeren in de app phishing-aanvallen tegen Santander en de Allied Irish bank gebruikers, waardoor aanvallers te nemen over een deel van het scherm terwijl de app werd uitgevoerd en stelen van de opgegeven referenties.

Terwijl het certificaat vastzetten is vaak voldoende om de veiligheid te waarborgen, in dit geval, de toepassing eigenlijk verborgen gebreken, omdat de penetratie testen kon het niet omzeilen van het systeem.

“Als deze fout is in het algemeen moeilijk te detecteren van de normale analyse-technieken, hebben we een hulpprogramma dat is semi-automatisch en eenvoudig te bedienen. Dit zal helpen ontwikkelaars en penetration testers ervoor te zorgen dat hun apps zijn te beveiligen tegen deze aanval,” zei Chris McMahon-Steen -, onderzoeks-student in de Beveiliging en Privacy van de Groep aan de Universiteit van Birmingham en co-auteur van het papier.

De onderzoekers hebben gewerkt met het Nationaal Cyber Security Centrum en de betrokken banken te herstellen van de kwetsbaarheden op te merken dat de huidige versie van alle apps die worden beïnvloed door de pinning kwetsbaarheid zijn nu veilig.

De Universiteit van Birmingham woordvoerder vertelde ZDNet alle banken waren zeer coöperatieve: “als deze was gemarkeerd, zijn ze deed het werk met het team te wijzigen, snel.”

LEES MEER OVER CYBER CRIME

Hacken van de groep doelen banken met kwaadaardige trojan malware campaignGet klaar voor meer hacks in 2018 [CNET]Hackers zijn het testen van deze vernieuwde banking malware met toegevoegde sluipende attacksAndroid veiligheid triple whammy: Nieuwe aanval combineert phishing, malware, en gegevens theftNew ‘Marcher’ malware-aanvallen Android-gebruikers’ bank-accounts [TechRepublic]

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters

0