Beveiligingsfout in 9 bank-apps kan 10 miljoen gebruikersinformatie hebben gelekt

De meeste, zo niet alle, beveiligingsgevoelige apps gebruiken een zogeheten TLS-verbinding om een ​​veilig gecodeerde koppeling tot stand te brengen tussen hun servers en uw telefoon. Dit zorgt ervoor dat wanneer u bijvoorbeeld uw bankzaken op uw telefoon doet, u feitelijk communiceert met uw bank en niet met een willekeurige, potentieel gevaarlijke server.

Er is slechts een klein probleempje: volgens een paper dat woensdag werd gepresenteerd op de jaarlijkse conferentie van Computer Security Applications in Orlando, hebben onderzoekers van de University of Birmingham vastgesteld dat negen populaire bank-apps niet de juiste voorzorgsmaatregelen hebben genomen bij het opzetten van hun TLS-verbinding. Deze apps hebben een gecombineerd gebruikersbestand van 10 miljoen mensen, waarvan alle inloggegevens voor het bankwezen gecompromitteerd hadden kunnen zijn als deze fout werd misbruikt.

"Dit is serieus, gebruikers vertrouwen erop dat deze banken hun operaties kunnen beveiligen", zegt Chris McMahon Stone, een promovendus computerbeveiliging aan de Universiteit van Birmingham. omgekeerde. "Dit gebrek is nu verholpen, we hebben het aan alle betrokken banken bekendgemaakt. Maar als een aanvaller op de hoogte was van dit beveiligingslek en zou zeggen dat een gebruiker een verouderde app gebruikt, dan zou het behoorlijk triviaal zijn om deze te misbruiken. De enige vereiste is dat de aanvaller op hetzelfde netwerk moet zijn als zijn slachtoffer, dus als een openbaar wifi-netwerk.

Hier is de lijst met getroffen apps, per paper.

De TLS-verbinding moet ervoor zorgen dat wanneer u uw bankaanmeldinformatie intypt, u ​​deze alleen naar uw bank en niemand anders stuurt. Deze veiligheidsmaatregel is een proces in twee stappen.

Het begint met banken of andere entiteiten die een cryptografisch ondertekend certificaat verzenden en verifiëren dat ze echt zijn wie ze beweren te zijn. Deze handtekeningen worden uitgegeven door de certificaatautoriteiten, die vertrouwde derde partijen zijn in dit proces.

Zodra dit certificaat is verzonden - en de app zorgt ervoor dat het legitiem is - moet de hostnaam van de server worden geverifieerd. Dit is eenvoudigweg het controleren van de naam van de server die u probeert aan te sluiten om er zeker van te zijn dat u geen verbinding met iemand anders tot stand brengt.

Het is deze tweede stap waarbij deze banken de bal hebben laten vallen.

"Sommige van deze apps die we ontdekken, controleren of het certificaat correct is ondertekend, maar controleren de hostnaam niet goed", zegt Stone. "Dus ze zouden elk geldig certificaat voor elke server verwachten."

Dit betekent dat een aanvaller een certificaat kan vervalsen en een man-in-the-middle-aanval kan opzetten. Waarbij de aanvaller de verbinding tussen de bank en de gebruiker host. Dit zou hen toegang geven tot allemaal de informatie die tijdens die verbinding wordt verzonden.

Hoewel deze fout is verholpen, gebruikt u een van de hierboven genoemde apps moet zorg ervoor dat uw app is bijgewerkt om de oplossing te krijgen. Stone dringt er ook bij mensen op aan om thuis mobiel te bankieren, een eigen netwerk om alle mogelijkheden van een man-in-the-middle-aanval te vermijden.

Blijf veilig op internet, vrienden.