Difetti di sicurezza in 9 App di Banking potrebbero aver colato 10 milioni di informazioni degli utenti

La maggior parte, se non tutte, le applicazioni sensibili alla sicurezza utilizzano la cosiddetta connessione TLS per creare un collegamento crittografato in modo sicuro tra i loro server e il telefono. Questo assicura che quando stai, ad esempio, stai facendo il tuo banking sul tuo telefono, in realtà stai comunicando con la tua banca e non con un server casuale, potenzialmente pericoloso.

C'è solo un piccolo problema: secondo un documento presentato mercoledì alla Conferenza annuale sulle applicazioni di sicurezza informatica a Orlando, i ricercatori dell'Università di Birmingham hanno scoperto che nove popolari applicazioni bancarie non hanno preso le dovute precauzioni quando impostano la loro connessione TLS. Queste app hanno una base di utenti combinata di 10 milioni di persone, tutte le cui credenziali di accesso al sistema bancario potrebbero essere state compromesse se questo difetto fosse stato sfruttato.

"Questo è serio, gli utenti credono che queste banche possano fare la loro sicurezza operativa", dice Chris McMahon Stone, uno studente di dottorato in sicurezza informatica dell'Università di Birmingham, Inverso. "Questo difetto è stato risolto, lo abbiamo rivelato a tutte le banche coinvolte. Ma se un utente malintenzionato fosse a conoscenza di questa vulnerabilità e affermasse che un utente sta eseguendo un'applicazione obsoleta, sarebbe piuttosto semplice sfruttarla. L'unico requisito è che l'autore dell'attacco debba trovarsi sulla stessa rete della vittima, così come una rete WiFi pubblica.

Ecco l'elenco delle app interessate, secondo la carta.

Si suppone che la connessione TLS garantisca che quando si inseriscono le informazioni di accesso alla banca, le si invii solo alla propria banca ea nessun altro. Questa precauzione di sicurezza è un processo in due fasi.

Inizia con banche o altre entità che inviano su un certificato firmato crittograficamente, verificando che siano realmente chi affermano di essere. Queste firme sono rilasciate dalle autorità di certificazione, che sono terze parti fidate in questo processo.

Una volta inviato questo certificato e l'app si assicura che sia legittimo, è necessario verificare il nome host del server. Si tratta semplicemente di controllare il nome del server che stai cercando di connettere per assicurarti di non stabilire una connessione con nessun altro.

E 'questo secondo passo in cui queste banche hanno lasciato cadere la palla.

"Alcune di queste app che scopriamo stavano verificando che il certificato fosse stato firmato correttamente, ma non stavano controllando correttamente il nome host", afferma Stone. "Quindi si aspetterebbero un certificato valido per qualsiasi server."

Ciò significa che un utente malintenzionato potrebbe falsificare un certificato e montare un attacco man-in-the-middle. Dove l'attaccante ospita la connessione tra la banca e l'utente. Questo darebbe loro l'accesso tutti le informazioni inviate durante quella connessione.

Mentre questo difetto è stato corretto, se usi una delle app sopra elencate dovere assicurati che la tua app sia aggiornata per ottenere la correzione. Stone sollecita vivamente le persone a fare il proprio servizio di mobile banking a casa, una propria rete per evitare qualsiasi possibilità di un attacco man-in-the-middle.

Resta al sicuro sul web, amici.