您现在的位置是:首页 > 行业 > 金融 >
iOS设备专用银行安全分析软件存漏洞
摘要来自全球60家金融机构之iOS设备专用的移动银行安全分析软件被发现,存在许多会招致各种恶意攻击,并曝露敏感信息的安全漏洞。...
来自全球60家金融机构之iOS设备专用的移动银行安全分析软件被发现,存在许多会招致各种恶意攻击,并曝露敏感信息的安全漏洞。
(本文不涉密)
责任编辑:刘宏彬
安全方案商IOActive顾问Ariel Sanchez分别针对下述问题进行分析研究,这些银行应用软件到底是如何与服务器沟通、它们如何在本地端储存数据、它们是否能在符合安全选项的情况下进行编译、它们透过日志外泄了什么样的信息,以及在程序代码中是否存在安全漏洞等。
该安全研究人员发现,所有受测应用软件皆能安装并执行在越狱(JB)设备上。越狱设备本身就是个安全风险,因为越狱会规避iOS的保护,并允许执行在设备上的应用软件,可以存取通常在非越狱设备上所无法存取到之其他受限制来源的应用软件。
尽管银行应用软件多半会针对敏感通讯采用SSL加密机制,但Sanchez发现,90%的受测应用软件在运行过程中,也会另外发起许多非加密的联机。这会让能拦劫到该流量的恶意攻击者(例如在一个不安全的无线网络中),将任意JavaScript或HTML程序代码植入到流量中,例如对应用软件用户显示假冒的登入提示,抑或发动其他社交工程攻击。
再者,即使在使用加密机制时,40%的受测应用软件,并未对接收至服务器上数字证书的真实性进行验证,结果导致他们易受采用假冒凭证之中间人攻击(man-in-the-middle )的风险。
(本文不涉密)
责任编辑:刘宏彬