一名安全研究員發(fā)現(xiàn)印度一家大銀行手機(jī)應(yīng)用存在漏洞，可使他輕松偷走250億美元。

去年年末，安全研究員薩提亞·普拉卡什在一家銀行的手機(jī)銀行應(yīng)用中發(fā)現(xiàn)了一系列關(guān)鍵漏洞，可使他僅用幾行代碼就能從任何甚至全部客戶賬戶中轉(zhuǎn)錢。

作為一名白帽子，普拉卡什立即與該銀行取得聯(lián)系，幫助銀行修復(fù)了這些漏洞，而不是趁機(jī)偷取該銀行中存有的250億美元資金。

在分析該手機(jī)銀行應(yīng)用時(shí)，普拉卡什發(fā)現(xiàn)里面缺乏證書鎖定，隨便一個(gè)中間人攻擊者都可以利用虛假證書降級SSL連接，捕獲明文請求。

除此之外，普拉卡什還發(fā)現(xiàn)，該手機(jī)銀行應(yīng)用的登錄會(huì)話架構(gòu)不安全，攻擊者不用知道登錄密碼就可以偽裝目標(biāo)賬戶所有者執(zhí)行重要操作，比如查看當(dāng)前賬戶余額和存款，添加新的收款人，進(jìn)行非法轉(zhuǎn)賬等。

在博客中，普拉卡什寫道：“通過CURL直接調(diào)用轉(zhuǎn)賬API，可以繞過收款人賬戶驗(yàn)證，往不在收款人列表中的賬戶打款”。

“枚舉銀行的客戶記錄(當(dāng)前賬戶余額，存款等)只需要5行代碼。”

從任意賬戶中拿錢

如果這還不夠，普拉卡什還發(fā)現(xiàn)，該應(yīng)用甚至根本不檢查客戶ID或交易授權(quán)碼（用于像轉(zhuǎn)賬、新建定期存款等重大操作）是否真正屬于打款人的賬號(hào)。

這一愚蠢的疏忽，可導(dǎo)致任何一個(gè)在該銀行有賬戶的人，都能使用此應(yīng)用從其他人賬戶上轉(zhuǎn)走資金。

普拉卡什說：“我用家人的賬戶做了測試。其中幾個(gè)賬戶甚至連網(wǎng)絡(luò)銀行或手機(jī)銀行都沒開通。但所有賬戶無一例外都能轉(zhuǎn)走錢，效果簡直立竿見影。”

然而，普拉卡什并沒有趁機(jī)利用這些漏洞牟利，而是負(fù)責(zé)任地在2015年11月13日用電子郵件告知了該銀行。幾天之后，該行副總經(jīng)理告訴他漏洞已修復(fù)，但沒有給予他任何漏洞報(bào)告的獎(jiǎng)勵(lì)。