Найдена зияющая «дыра» в приложениях для банкинга. Клиенты крупнейших банков мира рискуют остаться без денег


«Дыра» в банковских приложениях

Критическая уязвимость в приложениях известных банков позволяет злоумышленнику выкрасть персональные данные пользователя, включая имя, пароль и пин-код. Уязвимость была найдена в приложениях таких банков как Банковская корпорация Гонконга

и Шанхая (HSBC), Национальный банк Вестминстера (NatWest), британский Co-operative, Bank of America Health, крупнейший банк Испании Santander и крупнейший банк Ирландии Allied Irish bank (AIB).

Угроза обнаружена в приложениях как для iOS, так и для Android. О ней сообщили исследователи из Группы безопасности и приватности Бирмингемского университета.

Как это работает

Помимо кражи персональных данных хакер может дешифровать, просматривать и модифицировать весь сетевой трафик, который идет от приложения, и осуществлять любые операции, которые можно осуществлять через приложение. В случае с Santander и AIB хакер также может провести фишинговую атаку прямо в приложении, захватив контроль над частью экрана.

В приложениях крупнейших банков обнаружена скрытая уязвимость

Уязвимость позволяет злоумышленнику, находящемуся в той же сети, что и жертва, занять позицию «человека посередине», чтобы выкрасть данные. Это становится возможным благодаря багу в пиннинге сертификата. Пиннинг сертификата — это внедрение используемого на сервере SSL-сертификата в код мобильного приложения. Обычно эта практика служит укреплению безопасности.

История обнаружения

Исследователям из Бирмингемского университета удалось создать инструмент для полуавтоматического тестирования безопасности мобильных приложений на предмет наличия данной уязвимости. Обычными антивирусами действия «человека посередине» в этом случае не замечаются. Пиннинг сертификата способен скрыть отсутствие должной верификации имени хоста, что и делает атаку возможной.

Протестировав в общей сложности 400 приложений, исследователи выявили этот баг в ряде банковских продуктов. По словам авторов проекта, в целом с безопасностью этих продуктов все в порядке, просто найденная «дыра» действительно не поддавалась обнаружению.

Как сообщают исследователи, поставленные в известность банки охотно пошли на сотрудничество с университетом, Национальным центром кибербезопасности и друг с другом для скорейшей ликвидации уязвимости.

Калькулятор расчета пеноблоков смотрите на этом ресурсе
Все о каркасном доме можно найти здесь http://stroidom-shop.ru
Как снять комнату в коммунальной квартире смотрите тут comintour.net

Мы соц. сетях

View kondrashov’s profile on slideshare
Т Е Л Е Г Р А М

Наши обзоры

Различные обзоры рынков

  • Влияние машинного обучения на процесс создания креативного рекламного контента +

    Компании Criteo и IDC провели исследование о влиянии машинного обучения Подробнее
  • Crunchbase: к 2017 году Штаты перестали инвестировать в стартапы из РФ, а россияне в американские не перестали → Roem.ru +

    Crunchbase: к 2017 году Штаты перестали инвестировать в стартапы из РФ, а россияне в американские не перестали → Roem.ru Ещё 5 лет назад американские фонды инвестировали в российские стартапы Подробнее
  • Объём рынка рекламы в России претендует на пятое место в Европе +

    9 Ноябрь 2017 Комиссия экспертов Ассоциации Коммуникационных Агентств России подвела Подробнее
  • 1
  • 2
  • 3

Рынок в графиках

×
Читай избранные материалы без рекламы на каналах:
×
Все новости раз в день у Вас на почте:

Введи Ваш E-Mail