SecurityLab.ru 7 декабря 2017

Уязвимость в банковских мобильных приложениях позволяла похитить учетные данные и PIN-коды

Уязвимость в мобильных приложениях крупных банков США позволяла злоумышленникам похитить учетные данные пользователей, логины, пароли и PIN-коды. Об этом сообщили эксперты по кибербезопасности Бирмингемского университета в своем исследовании.
Уязвимость была обнаружена в приложениях банков HSBC, NatWest, Co-op, Bank of America Health, Santander и Allied Irish bank. В настоящее время все банки уже выпустили соответствующие патчи для устранения уязвимости.
Данная проблема позволяла злоумышленнику, находящемуся в той же сети, что и жертва, осуществить атаку «человек посередине» и похитить конфиденциальную информацию. Уязвимость присутствует в технологии закрепления сертификата — механизма безопасности, используемого для предотвращения мошеннических действий и атак с использованием поддельных сертификатов. С помощью данного механизма приложения принимают только сертификаты, подписанные одним корневым удостоверяющим центром.
Несмотря на то, что закрепление сертификата должно усиливать безопасность, инструмент, разработанный исследователями для выполнения полуавтоматизированной проверки безопасности мобильных приложений, выявил недостатки в технологии. Уязвимость закрепления сертификата может скрыть отсутствие корректной проверки имени хоста, позволяя осуществить атаку «человек посередине», заключили эксперты.
«В целом безопасность приложений, которые мы изучали, была на очень высоком уровне. Мы смогли найти несколько уязвимостей только благодаря разработанному нами новому инструменту», — отметил один из авторов доклада.
«Невозможно определить, были ли эти уязвимости проэксплуатированы кем-либо. Однако если бы злоумышленникам это все же удалось, то они могли получить доступ к банковскому приложению любого, кто подключен к скомпрометированной сети», — добавил он.
 Ещё 2 источника 
Комментарии
Читайте также
Огромные траты на борьбу с порно назвали бессмысленными
Facebook будет бороться с «вмешательством» в выборы
«Самая счастливая в мире собака» найдена в Сети
1
Депрессию научились предсказывать по Facebook
Последние новости
Минкультуры РФ предложило свои критерии по определению анонимных сайтов
Около 700 млн пользователей оказались под угрозой из-за уязвимости в branch.io
Обзор инцидентов безопасности за период с 8 по 14 октября 2018 года