iOS平台银行App的重大漏洞 应进行防越狱保护

 | 2014-01-16 |

    昨天已经爆发了,iOS平台手机银行App存安全风险漏洞,那我们再来回顾一下。据国外研究机构IOActive Labs的研究人员阿里尔·桑切斯称,在他测试的40款移动银行App中,几乎都未实施基本的安全保护措施,尽管在通知了这些易受攻击的漏洞之后,情况依然未变。值得一提的是,这些银行乃全球最具影响力的40家银行。

银行App被允许安装在已越狱的iOS设备上 存安全隐患

银行App被允许安装在已越狱的iOS设备上 存安全隐患


    桑切斯对40款iOS移动银行App的安全性进行了近40小时的测试,所有的这些应用都允许安装在一款已经越狱的iOS设备上。因此他提出了针对安全隐患的第一个建议:iOS设备应进行防越狱保护。


    此外,桑切斯还对这些iOS平台的银行App进行了包括运输安全性、编译器保护、UIWebViews、不安全数据存储、记录以及二进制分析在内的多项安全测试。其中,“是否会有敏感信息被发送至未经加密的数据中”、“会话是否安全”、“SSL证书是否经恰当处理”等问题均被一一验证。

    结果显示,有40%的经审核App都未验证SSL证书的可靠性,这样的后果是,这些App会十分容易遭受MiTM攻击。另外,有90%的应用包括数个覆盖整个应用的非SSL连接,黑客极有可能据此伪造登录信息,从而进行诈骗。

    如果你认为上述问题就已十分可怕了,那么编辑告诉你,更可怕的还在后面。桑切斯在iOS平台银行App的代码中发现了“硬核凭据”。即让能黑客接入这些银行开发基础架构的机会的恭喜,后果是,黑客会利用恶意软件干扰相关软件,并导致所有应用的用户出现大规模的感染情形。


对iOS平台银行App进行的安全检查

对iOS平台银行App进行的安全检查(图片来自赛迪网)


还有70%的被测App没有替代的验证解决方案来帮助用户“缓和模拟攻击的风险”。

       虽然这只是针对iOS平台银行App进行的测试,但并不代表Android平台可以幸免。相对更开放的Android平台,安全隐患会不会更多呢?这点还有待专人评测。

小伙伴们,使用移动银行App客户端,需谨慎!


文章出自:云度:http://www.yunduapp.com 转载请注明出处
无觅关联推荐,快速提升流量