iOS平台手机银行App大多存安全风险漏洞

安全
1月15日消息,据国外媒体报道,苹果iPhone或iPad用户请注意了,iOS版本手机银行存在安全风险漏洞。研究机构IOActive Labs研究人员阿里尔·桑切斯(Ariel Sanchez)对40款移动银行应用进行了测试,与这些应用有关联的银行为全球最具影响力的60家银行。

据国外媒体报道,苹果iPhone或iPad用户请注意了,iOS版本手机银行存在安全风险漏洞。研究机构IOActive Labs研究人员阿里尔·桑切斯(Ariel Sanchez)对40款移动银行应用进行了测试,与这些应用有关联的银行为全球最具影响力的60家银行。

 

起初,桑切斯对在iOS银行应用中发现其中很多的银行都未实施基本的安全保护措施,尽管在通知了这些易受攻击漏洞之后情况依然未变。

桑切斯并未对发现的银行应用漏洞进行详细的研究,也未展示如何利用这些漏洞。他对40款iOS移动银行应用的安全性进行了40个小时的测试,所有的这些应用都允许安装在一款越狱的iOS设备上。对此,他建议iOS设备应进行防越狱保护。

 

接下来对每款应用的客户端进行了测试:运输安全性、编译器保护、UIWebViews、不安全数据存储、记录以及二进制分析。在运行测试中,包括验证是否会有敏感信息被发送至未经加密的数据中;会话是否安全以及SSL证书是否经恰当处理。用户可能不会对这些感兴趣,相反会将这些应用具备合理的安全性视为理所当然的事。

桑切斯发现,40%的经审核应用都未验证SSL证书的可靠性,这使得这些应用十分容易遭受MiTM攻击。90%的应用包括数个覆盖整个应用的非SSL连接,黑客可能据此伪造登录提升或类似的骗局。

 

 

更糟糕的是,他在这些应用的代码中发现了硬核凭据,通过使用硬核凭据,黑客能够获得接入这些银行开发基础架构的机会,从而利用恶意软件干扰相关软件,并导致所有应用的用户出现大规模的感染情形。

 

 

 

或许你听到过多次多因子身份验证方式,但70%的被测试应用没有替代的验证解决方案来帮助用户“缓和模拟攻击的风险”。

责任编辑:蓝雨泪 来源: 比特网
相关推荐

2014-01-02 09:36:40

2014-07-23 09:28:09

2015-07-10 15:19:21

2010-08-31 16:23:45

2011-11-17 08:31:21

2015-02-11 15:19:27

2011-08-08 15:48:08

2022-04-26 10:13:02

API漏洞安全

2012-04-10 10:50:49

2015-07-02 11:16:49

乌云

2009-06-10 17:20:01

ATM安全风险漏洞

2014-08-01 09:12:39

2013-02-25 10:23:35

2013-01-24 11:28:17

2015-09-20 21:02:36

2012-11-22 13:42:19

2015-02-03 14:19:25

2015-03-26 12:14:02

iOS漏洞苹果手机手机安全

2013-09-09 17:53:03

2010-09-01 13:37:32

点赞
收藏

51CTO技术栈公众号