首页>网络安全资讯>知名银行APP存安全漏洞,千万用户密码面临被盗风险

知名银行APP存安全漏洞,千万用户密码面临被盗风险

英国伯明翰大学研究人员年发布的报告显示,汇丰银行(HSBC)、Natwest和Co-op银行使用的APP应用程序存在严重漏洞,允许黑客窃取用户名和密码。

9款APP应用存在安全漏洞

研究人员开发了一款名为“Spinner”,能对APP进行半自动化安全测试。研究人员利用Spinner对400款Android和iPhone应用程序进行了分析,结果发现9款应用存在一个重大漏洞,包括美国银行(Bank of America)和汇丰银行这两家大型银行的APP。此外,国外相当热门的VPN应用程序TunnelBear也已遭受黑客入侵。这些存在漏洞的APP现已被修复。

这些APP的用户量共达到数千万,一旦被利用,黑客可连接到受害者的网络,例如工作场所或咖啡店的公共无线网络,以此执行中间人攻击获取用户名、密码和PIN码。

缺乏适当的证书主机名验证,再加上安全性要求较高的APP逐渐使用 “证书锁定”(Certificate Pinning)技术,这样一来标准测试便无法检测到严重的漏洞,从而允许攻击者控制受害者的网上银行。研究人员指出,黑客可利用该漏洞解密、查看并修改网络流量。

专家发现桑坦德银行(Santander)和爱尔兰联合银行(Allied Irish)提供的APP被发现“应用程序内网络钓鱼攻击”漏洞。这些漏洞会使攻击者在APP运行时控制部分屏幕,并借此获取受害者的登录凭证。

涉“资金”的APP应及时更新

美国银行通过电子邮件向英国媒体IBTimes UK发表声明指出,美国银行Health APP中发现的漏洞两年之前就已解决。银行自2017年6月开始不再提供这款应用,客户信息未受到影响。

英国伯明翰大学的研究人员12月6日表示,已与英国国家网络安全中心(NCSC)解决修复漏洞,并确保将补丁推送给用户。受影响的银行已参与到修复过程当中,所有网上银行用户被敦促安装更新,未安装补丁的用户将会面临风险。

伯明翰大学的研究人员汤姆·乔西亚表示,总的来说,他们研究的APP安全性很好,而发现的漏洞是难以检测的漏洞,或许只能被这款新工具检测到。研究人员无法判断这些漏洞是否被利用。

相关资讯:

移动APP存重大安全隐患,用户数据未启用HTTPS加密

移动互联网火热,APP使用量呈现爆发式增长,但移动APP安全却存在巨大的安全隐患,检测显示90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面,98%不校验证书链和...

浏览器和App的URL来源显示,存在安全风险

浏览器和App的URL来源显示,存在安全风险发布日期:2017-05-10 我们早些时候解释了“eliding”,这是一种视觉截断长URL以便适应地址栏长度的做法,以及...

iOS APP接受自签名证书,易受中间人攻击

几十个iOS移动银行、医疗和其他类型的APP,因开发人员遗留的调试代码允许接受自签名证书,导致其处理敏感用户信息时容易受到中间人攻击,其中TLS流量可以被...