События

Уязвимость в банковских мобильных приложениях позволяла похитить учетные данные и PIN-коды

Уязвимость в мобильных приложениях крупных банков США позволяла злоумышленникам похитить учетные данные пользователей, логины, пароли и PIN-коды. Об этом сообщили эксперты по кибербезопасности Бирмингемского университета в своем исследовании.

Уязвимость была обнаружена в приложениях банков HSBC, NatWest, Co-op, Bank of America Health, Santander и Allied Irish bank. В настоящее время все банки уже выпустили соответствующие патчи для устранения уязвимости.

Данная проблема позволяла злоумышленнику, находящемуся в той же сети, что и жертва, осуществить атаку «человек посередине» и похитить конфиденциальную информацию. Уязвимость присутствует в технологии закрепления сертификата - механизма безопасности, используемого для предотвращения мошеннических действий и атак с использованием поддельных сертификатов. С помощью данного механизма приложения принимают только сертификаты, подписанные одним корневым удостоверяющим центром.

Несмотря на то, что закрепление сертификата должно усиливать безопасность, инструмент, разработанный исследователями для выполнения полуавтоматизированной проверки безопасности мобильных приложений, выявил недостатки в технологии. Уязвимость закрепления сертификата может скрыть отсутствие корректной проверки имени хоста, позволяя осуществить атаку «человек посередине», заключили эксперты.

«В целом безопасность приложений, которые мы изучали, была на очень высоком уровне. Мы смогли найти несколько уязвимостей только благодаря разработанному нами новому инструменту», - отметил один из авторов доклада.

«Невозможно определить, были ли эти уязвимости проэксплуатированы кем-либо. Однако если бы злоумышленникам это все же удалось, то они могли получить доступ к банковскому приложению любого, кто подключен к скомпрометированной сети», - добавил он.

Источник

Автор: Сергей Куприянов
7.12.2017 (16:20)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.