Sikkerhetsfeil i 9 bankapplikasjoner kan ha lekket 10 millioner brukerinformasjon

De fleste, hvis ikke alle, bruker sikkerhetssensitive apper det som kalles en TLS-forbindelse for å opprette en sikker kryptert lenke mellom serverne og telefonen din. Dette sikrer at når du sier, gjør banken din på telefonen, kommuniserer du faktisk med banken din og ikke noen tilfeldig, potensielt farlig server.

Det er bare ett lite problem: Ifølge en rapport som ble presentert onsdag på den årlige datasikkerhetsapplikasjonskonferansen i Orlando, har forskere ved University of Birmingham funnet at ni populære banktjenester ikke har tatt de riktige forholdsreglerene når de setter opp TLS-tilkoblingen. Disse appene har en kombinert brukerbase på 10 millioner mennesker, alle hvis bankinnloggingsopplysninger kunne ha blitt kompromittert hvis denne feilen ble utnyttet.

"Dette er seriøst, brukerne stoler på at disse bankene kan gjøre deres operasjonssikkerhet, sier Chris McMahon Stone, en datavitenskaps PhD-student ved University of Birmingham, forteller Omvendt. "Denne feilen er nå løst, vi opplyste det til alle involverte banker. Men hvis en angriper visste om dette sikkerhetsproblemet og sier at en bruker kjører en utdatert app, ville det være ganske trivielt å utnytte. Det eneste kravet er at angriperen måtte være på samme nettverk som deres offer, slik som et offentlig WiFi-nettverk.

Her er listen over berørte apper, per papiret.

TLS-tilkobling skal sikre at når du skriver inn bankinnloggingsinformasjonen, sender du den bare til banken din og ingen andre. Denne sikkerhetsforanstaltningen er en to-trinns prosess.

Det starter med banker eller andre enheter som sender over et kryptografisk signert sertifikat, og bekrefter at de virkelig er de som de hevder å være. Disse signaturene er gitt ut av sertifikatmyndighetene, som er pålitelige tredjeparter i denne prosessen.

Når dette sertifikatet er sendt over - og appen sørger for at det er legitimt - vertsnavnet til serveren må bekreftes. Dette er bare å sjekke navnet på serveren du prøver å koble til for å sikre at du ikke oppretter forbindelse med noen andre.

Det er dette andre trinnet der disse bankene droppet ballen.

"Noen av disse appene vi oppdager, sjekket at sertifikatet var riktig signert, men de sjekket ikke vertsnavnet riktig, sier Stone. "Så de ville forvente et gyldig sertifikat for hvilken som helst server."

Dette betyr at en angriper kan spoof et sertifikat og montere et mann-i-midten-angrep. Der angriperen er vert for forbindelsen mellom banken og brukeren. Dette vil gi dem tilgang til alle informasjonen som sendes under denne tilkoblingen.

Mens denne feilen er utbedret, hvis du bruker noen av appene som er oppført ovenfor deg må sørg for at appen din er oppdatert for å få reparasjonen. Stone oppfordrer også sterkt folk til å gjøre sine mobile banker hjemme, et eget nettverk for å unngå muligheter for et mann-i-midten-angrep.

Hold deg trygg på nettet, venner.