網絡安全公司測試21款移動證券交易應用存在各種安全漏洞

發布日期:2017-09-28首頁 > 安全資(zī)訊

網絡安全公司 IOActive 研究人員(yuán) Alejandro Hernández 近期通過測試 Google 應用商(shāng)店(diàn)和蘋果商(shāng)店(diàn)中(zhōng)最常用的 21 款移動證券交易應用程序後發現多處安全漏洞,可導緻洩露用戶密碼及其财務信息。

  研究員(yuán) Hernández 通過分(fēn)析了 21 款應用程序的生(shēng)物(wù)識别身份驗證、隐私模式、鎖定時間、加密技術、root 檢測、社交媒體(tǐ)風險等功能後發現有 4 款應用以明文形式暴露用戶密碼,這意味着能夠物(wù)理訪問設備的攻擊者可以輕松登錄交易賬号并竊取資(zī)金。此外(wài),近 2/3 的應用程序将敏感數據發送到日志(zhì)文件,允許具備物(wù)理訪問權限的攻擊者了解用戶的淨值、投資(zī)策略與賬戶餘額。
 

8677-1F92Q3324A16.png
 

  圖1:IOActive 針對 21 款應用的評分(fēn)審計結果

  據悉,上述應用程序中(zhōng)有 2 款使用了未加密的 HTTP 通道傳輸與接收數據;13 款應用雖然使用了加密的 HTTPS 通道,但不會通過驗證其 SSL 證書(shū)檢查遠程節點。如果用戶使用公共 Wi-Fi 熱點而未采取防禦措施時,這兩處漏洞都将使不法分(fēn)子利用 “中(zhōng)間人(MitM)” 攻擊竊聽(tīng)與篡改重要數據。
 

8677-1F92Q333055W.jpg
 

  圖2:測試應用程序中(zhōng)存在 Cleartext 密碼問題

  IOActive 表示,他們在其研究完成後立即通知(zhī)了此類應用程序的開(kāi)發人員(yuán)。由于事件仍在處理當中(zhōng),IOActive 決定暫不公開(kāi)測試應用名稱。此外(wài),爲更好的保障用戶交易環境,公司鼓勵監管機構提高平台安全态勢。