此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

网安要闻
当前位置: 首页 网安要闻
名称:  汇丰等知名银行APP存在关键漏洞,或致数百万用户易遭黑客中间人(MitM)攻击
索引:  K08260953/2017-03044 发布机构:  吉林省通信管理局办公室
生成日期:  2017-12-20 0:00:00 文号:  
信息分类:   关键词:  
内容概述:  汇丰等知名银行APP存在关键漏洞,或致数百万用户易遭黑客中间人(MitM)攻击
汇丰等知名银行APP存在关键漏洞,或致数百万用户易遭黑客中间人(MitM)攻击
发布时间:2017-12-20 0:00:00  

  英国伯明翰大学的安全研究人员Chris McMahon Stone、Tom Chothia和Flavio Garcia近期在佛罗里达州奥兰多举行的2017计算机安全应用会议上发表了一篇学术论文,宣称他们通过测试数百款iOS与Android设备的不同银行应用程序中发现多家知名银行的主要移动应用程序均存在一处关键漏洞,可导致数百万用户的银行凭证易遭黑客中间人(MitM)攻击,其中受影响的银行包括爱尔兰联合银行、Co-op、汇丰银行、NatWest和桑坦德银行等。
  调查显示,即使该移动银行应用程序使用了SSL pinning功能,黑客也可通过该漏洞连接至与受害用户同一网络后拦截SSL连接,并检索用户银行凭证(例如:用户名与密码等)。
  SSL pinning提供了一种额外的防止中间人攻击的保护措施,通过证书锁定达到有效规避黑客使用不可信证书查看并操控用户网络流量的行为。然而,一旦认证机构(CA)错误签发不信任证书,就有可能允许攻击者在其目标应用程序中进行中间人攻击。此外,由于缺少针对主机名的验证导致多数银行应用程序面临黑客攻击的风险,因为它们无法检查银行应用程序连接URL的主机名与服务器公开的数字证书的主机名是否匹配。
  知情人士透露,研究人员特意开发了一款新型自动化检测工具Spinner,能够在数百款银行应用程序中快速检测漏洞,而无需购买证书。
  Spinner工具主要通过Censys IoT搜索引擎在证书中查找不同备用主机证书链后,将来自应用程序的流量重定向至具有相同CA证书签名的网站。如果连接失败,那么就会知道应用程序检测到错误的主机名;而如果连接成功建立并且客户机在连接失败之前传输了加密的应用程序数据,则应用程序已接受主机名并极易遭受攻击。
  目前,研究人员已经与国家网络安全中心(NCSC)合作,通知所有受影响银行尽快解决问题,以避免造成客户信息与财产的损失。


  (新闻来源:HackerNew.cc  
http://hackernews.cc/archives/18053