Sikkerhedsfejl i 9 bankapplikationer kan have lækket 10 millioner brugeroplysninger

De fleste, hvis ikke alle, bruger sikkerhedsfølsomme apps, hvad der er kendt som en TLS-forbindelse for at oprette et sikkert krypteret link mellem deres servere og din telefon. Dette sikrer, at når du siger, gør din bank på din telefon, kommunikerer du rent faktisk med din bank og ikke en tilfældig, potentielt farlig server.

Der er kun et lille problem: Ifølge et papir, der blev præsenteret onsdag på den årlige computerbehandlingsapplikationskonference i Orlando, har forskere ved Birminghams universitet fundet, at ni populære bankapplikationer ikke har taget de rette forholdsregler ved opsætningen af ​​deres TLS-forbindelse. Disse apps har en kombineret brugerbase på 10 millioner mennesker, hvis identifikationsoplysninger for bank login kunne være blevet kompromitteret, hvis denne fejl blev udnyttet.

"Dette er seriøst, brugerne stoler på, at disse banker kan gøre deres drift sikkerhed," siger Chris McMahon Stone, en computer sikkerhed ph.d.-studerende ved University of Birmingham, fortæller Inverse. "Denne fejl er nu rettet, vi afslørede det til alle de involverede banker. Men hvis en angriber vidste om denne sårbarhed og siger, at en bruger kører en forældet app, så ville det være ret trivielt at udnytte. Det eneste krav er, at angriberen skal være på samme netværk som deres offer, sådan som et offentligt WiFi-netværk.

Her er listen over berørte apps, pr. Papiret.

TLS-forbindelse skal sikre, at når du indtaster dine bankoplysninger, sender du det kun til din bank og ingen andre. Denne sikkerhedsforanstaltning er en to-trins proces.

Det starter med banker eller andre enheder, der sender et kryptografisk underskrevet certifikat, der kontrollerer, at de virkelig er, som de hævder at være. Disse underskrifter er udstedt af certifikatmyndighederne, som er betroede tredjeparter i denne proces.

Når dette certifikat er sendt over - og appen sikrer, at det er legitimt - skal værtsnavnet på serveren verificeres. Dette er simpelthen bare at tjekke navnet på den server, du forsøger at oprette forbindelse til, for at sikre, at du ikke opretter forbindelse med andre.

Det er dette andet skridt, hvor disse banker tabte bolden.

"Nogle af disse apps, vi opdager, kontrollerede, at certifikatet var korrekt underskrevet, men de kontrollerede ikke værtsnavnet ordentligt," siger Stone. "Så de ville forvente et gyldigt certifikat for enhver server."

Det betyder, at en hacker kunne spoof et certifikat og montere et mand-i-midten-angreb. Hvor angriberen er vært for forbindelsen mellem banken og brugeren. Dette ville give dem adgang til alle de oplysninger, der sendes under denne forbindelse.

Selvom denne fejl er blevet rettet, hvis du bruger nogen af ​​de apps, der er angivet ovenfor dig skal Sørg for, at din app er opdateret for at få rettelsen. Stone opfordrer også folk til at gøre deres mobile banking hjemme, et eget netværk for at undgå muligheden for et menneske-i-midten-angreb.

Bliv sikker på internettet, venner.