網(wǎng)絡安全公司 IOActive 研究人員 Alejandro Hernández 近期通過測試 Google 應用商店和蘋果商店中最常用的 21 款移動證券交易應用程序后發(fā)現(xiàn)多處安全漏洞，可導致泄露用戶密碼及其財務信息。

研究員 Hernández 通過分析了 21 款應用程序的生物識別身份驗證、隱私模式、鎖定時間、加密技術、root 檢測、社交媒體風險等功能后發(fā)現(xiàn)有 4 款應用以明文形式暴露用戶密碼，這意味著能夠物理訪問設備的攻擊者可以輕松登錄交易賬號并竊取資金。此外，近 2/3 的應用程序?qū)⒚舾袛?shù)據(jù)發(fā)送到日志文件，允許具備物理訪問權(quán)限的攻擊者了解用戶的凈值、投資策略與賬戶余額。

圖1：IOActive 針對 21 款應用的評分審計結(jié)果

據(jù)悉，上述應用程序中有 2 款使用了未加密的 HTTP 通道傳輸與接收數(shù)據(jù)；13 款應用雖然使用了加密的 HTTPS 通道，但不會通過驗證其 SSL 證書檢查遠程節(jié)點。如果用戶使用公共 Wi-Fi 熱點而未采取防御措施時，這兩處漏洞都將使不法分子利用 “中間人（MitM）” 攻擊竊聽與篡改重要數(shù)據(jù)。

圖2：測試應用程序中存在 Cleartext 密碼問題

IOActive 表示，他們在其研究完成后立即通知了此類應用程序的開發(fā)人員。由于事件仍在處理當中，IOActive 決定暫不公開測試應用名稱。此外，為更好的保障用戶交易環(huán)境，公司鼓勵監(jiān)管機構(gòu)提高平臺安全態(tài)勢。

文章來源：hackernews 原文地址：http://hackernews.cc/archives/1519