研究:iOS设备专用的移动银行安全分析软件存在安全漏洞

发布时间:2020-10-05

来自全球60家金融机构之iOS设备专用的移动银行安全分析软件被发现,存在许多会招致各种恶意攻击,并曝露敏感信息的安全漏洞。

安全方案商IOActive顾问Ariel Sanchez分别针对下述问题进行分析研究,这些银行应用软件到底是如何与服务器沟通、它们如何在本地端储存数据、它们是否能在符合安全选项的情况下进行编译、它们透过日志外泄了什么样的信息,以及在程序代码中是否存在安全漏洞等。

该安全研究人员发现,所有受测应用软件皆能安装并执行在越狱(JB)设备上。越狱设备本身就是个安全风险,因为越狱会规避iOS的保护,并允许执行在设备上的应用软件,可以存取通常在非越狱设备上所无法存取到之其他受限制来源的应用软件。

尽管银行应用软件多半会针对敏感通讯采用SSL加密机制,但Sanchez发现,90%的受测应用软件在运行过程中,也会另外发起许多非加密的联机。这会让能拦劫到该流量的恶意攻击者(例如在一个不安全的无线网络中),将任意JavaScript或HTML程序代码植入到流量中,例如对应用软件用户显示假冒的登入提示,抑或发动其他社交工程攻击。

再者,即使在使用加密机制时,40%的受测应用软件,并未对接收至服务器上数字证书的真实性进行验证,结果导致他们易受采用假冒凭证之中间人攻击(man-in-the-middle )的风险。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

Copyright © 2012-2020(ent.multiic.com) 版权所有 Powered by 万站群

本站部份内容来源自网络,文字、素材、图片版权属于原作者,本站转载素材仅供大家欣赏和分享,切勿做为商业目的使用。

如果侵害了您的合法权益,请您及时与我们,我们会在第一时间删除相关内容!