Эта уязвимость разрешила преступнику, что подключен к той же сети, что и жертва (к примеру, общедоступной сети Wi-Fi или корпоративной сети), выполнить так именуемую атаку «Человек в центре внимания» и забрать учетные эти пользователя, такие как имя и пароль пользователя / пин-код. .Исследователи осознали, что банки приложили много упрочнений для обеспечения безопасности собственных приложений, но использованная одна конкретная разработка — так именуемое «закрепление сертификатов» — которая как правило повышает безопасность, означала, что стандартные тесты не смогли отыскать ответственную уязвимость. это может дать преступникам взять контроль над онлайн-банком жертвы.Тесты показали, что приложения из некоторых из громаднейших банков мира содержат этот недочёт, что при применения имел возможность бы дать преступнику расшифровать, просмотреть и поменять сетевой трафик пользователей приложения. Так, преступник с такой возможностью может выполнить любую операцию, которая как правило возможна в приложении.
Были обнаружены и другие атаки, и «фишинговые атаки в приложений» на Santander и Allied Irish bank. Эти атаки разрешили бы преступнику захватить часть экрана в течении работы приложения и использовать это для фишинга для получения учетных данных жертвы.
Исследователи трудились с вовлеченными банками и Национальным центром кибербезопасности правительства Англии, чтобы исправить все уязвимости, и текущие догадки всех приложений, затронутых данной уязвимостью закрепления, на данный момент защищены.Исследователи рекомендуют всем пользователям банковских приложений убедиться, что они всегда используют самую последнюю версию приложения, и всегда устанавливать обновления, в то время, когда они будут предложены.
Изучение было совершено д-ром Томом Чотиа, д-ром Флавио Гарсиа и докторантом Крисом МакМахоном Стоуном, каковые все являются участниками Группы по безопасности и конфиденциальности в Университете Бирмингема.Доктор Том Чотиа сказал: «В целом безопасность приложений, каковые мы изучили, была очень хорошей, отысканные нами уязвимости пришлось нелегко отыскать, и мы смогли найти так много не сильный мест только благодаря новому инструменту, что мы создали», — добавил он: «Невозможно узнать, употреблялись ли эти уязвимости, но если бы они были, преступники имели возможность получить доступ к банковскому приложению любого, кто подключен к взломанной сети ».
Д-р Флавио Гарсия сказал: «Прикрепление сертификатов — хороший метод повышения безопасности соединения, но в этом случае для тестеров на проникновение затрудняется обнаружение более большой неприятности, которая связана с отсутствием надлежащей проверки имени хоста».Крис МакМахон Стоун сказал: «Вследствие того что этот недочёт как правило не легко отыскать при помощи несложных способов анализа, мы создали инструмент обнаружения, что имеется полуавтоматическим и несложным в применении.
Это окажет помощь разработчикам и тестерам на проникновение обезопасисть собственных приложений от данной атаки. . "Кое-какие начальные результаты были представлены в статье «Анализ безопасности TLS в ведущих банковских приложениях Англии», представленной на конференции по финансовой криптографии и безопасности данных в январе, а полные результаты будут представлены в статье «Спиннер: полуавтоматическое обнаружение. закрепления без проверки имени хоста », каковые представляются на 33-й ежегодной конференции по приложениям компьютерной безопасности в Орландо.