證書鎖定:網(wǎng)銀安全漏洞致數(shù)百萬人面臨嚴(yán)重威脅

責(zé)任編輯:editor005

作者:nana

2017-12-14 14:35:47

摘自:安全牛

上周,英國伯明翰大學(xué)安全研究人員公布了移動(dòng)銀行App中的安全缺陷,該缺陷可致數(shù)百萬用戶面臨被黑風(fēng)險(xiǎn)升高。銀行部署的健壯加密技術(shù),也應(yīng)抵御各種攻擊,即便是在用戶通過老舊或未完全修復(fù)的設(shè)備連接服務(wù)的情況下。

上周,英國伯明翰大學(xué)安全研究人員公布了移動(dòng)銀行App中的安全缺陷,該缺陷可致數(shù)百萬用戶面臨被黑風(fēng)險(xiǎn)升高。

研究人員開發(fā)了名為“Spinner”的工具,來對(duì)移動(dòng)App執(zhí)行半自動(dòng)安全測試。對(duì)400個(gè)安全關(guān)鍵App樣本進(jìn)行測試后,他們在很多銀行App中發(fā)現(xiàn)了一個(gè)嚴(yán)重缺陷——包括匯豐銀行、英國西敏寺銀行和Co-op銀行提供的App,還有美國銀行的Health賬戶App。

研究人員發(fā)現(xiàn),盡管銀行在App安全方面很盡責(zé),一項(xiàng)所謂的“證書鎖定”技術(shù)——本應(yīng)提升安全的技術(shù),卻意味著標(biāo)準(zhǔn)測試難以檢測出可致攻擊者接管受害者網(wǎng)銀的嚴(yán)重漏洞。

弗拉維奧·加西亞博士解釋道:“證書鎖定是提高連接安全的一項(xiàng)好技術(shù),但該案例中,這項(xiàng)技術(shù)卻讓滲透測試員難以發(fā)現(xiàn)更嚴(yán)重的問題——缺乏恰當(dāng)?shù)闹鳈C(jī)名驗(yàn)證。”

該安全弱點(diǎn)為攻擊者創(chuàng)建了一個(gè)可能的機(jī)制——只要接入所害者所處相同網(wǎng)絡(luò)(如同個(gè)WiFi熱點(diǎn)),攻擊者就可執(zhí)行“中間人攻擊”并收獲用戶憑證,比如用戶名和口令/PIN碼。研究人員還發(fā)現(xiàn)了其他潛在的攻擊渠道,包括在桑坦德銀行和愛爾蘭聯(lián)合銀行的軟件產(chǎn)品中執(zhí)行某些“App內(nèi)網(wǎng)絡(luò)釣魚”活動(dòng)。

  App內(nèi)置的釣魚攻擊

這些攻擊可使黑客在銀行App運(yùn)行時(shí)接管屏幕的一部分,并以此誘騙受害者的登錄憑證。

修復(fù)

伯明翰大學(xué)的研究人員,與相關(guān)銀行及英國國家網(wǎng)絡(luò)安全中心合作,修復(fù)了所有漏洞,目前全部受影響App的當(dāng)前版本均已安全。

App安全公司Arxan表示,使用研究人員同款老舊蘋果設(shè)備的銀行客戶(可能是第一代iPad,系統(tǒng)最高到 iOS 5.1.1),應(yīng)考慮采用別的什么東西來訪問網(wǎng)銀了。

該公司歐洲、中東和非洲(EMEA)技術(shù)總監(jiān)溫斯頓·邦德,敦促銀行審查該研究,并向客戶推送更新。

銀行應(yīng)盡快修復(fù)漏洞并向客戶推送更新。該研究中重點(diǎn)強(qiáng)調(diào)的一個(gè)漏洞,就是老舊蘋果設(shè)備的用戶,因受制于老舊iOS版本,一旦App開發(fā)人員將最低支持OS版本調(diào)高,便無法接受任何更新。他們被釘在了最后一個(gè)兼容的版本上,無論其中含有什么漏洞和缺陷,都只有受著。

為了銀行及其他需保護(hù)自己不受過時(shí)App影響的組織,每個(gè)主流App開發(fā)人員,都不得不在采納最新iOS特性的無情壓力,和繼續(xù)更新老舊設(shè)備用戶的需求上,做出平衡。

銀行部署的健壯加密技術(shù),也應(yīng)抵御各種攻擊,即便是在用戶通過老舊或未完全修復(fù)的設(shè)備連接服務(wù)的情況下。

證書鎖定是確保移動(dòng)App只與英國通聯(lián)的服務(wù)器直接對(duì)話的一種方式。所有通信流量都經(jīng)過強(qiáng)加密,且只有到達(dá)正確地點(diǎn)才能被理解。這樣,任何人都插不進(jìn)用戶和銀行中間,看不到賬戶余額,也改不了支付信息。

實(shí)現(xiàn)證書鎖定的方式有很多種,在靈活性和安全性上有所取舍。

值得指出的是,伯明翰大學(xué)的團(tuán)隊(duì)在遵從應(yīng)用商店證書協(xié)議規(guī)定的同時(shí),成功執(zhí)行了這些攻擊——這些規(guī)定禁止逆向工程或修改App。真正的攻擊者可沒這么友好。

反惡意軟件公司ESET安全專家馬克·詹姆斯稱,通過移動(dòng)設(shè)備使用金融服務(wù),無論是智能手機(jī)還是平板電腦,如果可能的話,最好還是接入蜂窩網(wǎng)絡(luò);如果條件不允許,至少通過VPN來最小化連接被劫持的風(fēng)險(xiǎn)。

今年1月的金融密碼及數(shù)據(jù)安全大會(huì)會(huì)議論文《主流英國銀行App TLS 安全分析》中,列出了該研究的一些初步結(jié)論。完整結(jié)果發(fā)表在上周的第33屆計(jì)算機(jī)安全應(yīng)用大會(huì)論文《Spinner:無主機(jī)名驗(yàn)證鎖的半自動(dòng)化檢測》。

完整論文:

https://www.cs.bham.ac.uk/~garciaf/publications/why_banker_bob.pdf

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)