当前位置:安全资讯 >> 全文

研究者称银行iOS app还不够安全

发布时间:2015-12-22 15:26
分享到 0

在过去两年中,虽然手机银行应用程序的安全性有所改善,但仍有改进的余地。

IOActive安全顾问阿里尔·桑切斯调查了全世界40款iOS银行应用程序,桑切斯专注于寻找客户端的漏洞,而没有进行任何服务器端测试。

这40个app中有5个无法验证SSL证书的真实性,这使得它们很容易受到中间人攻击。超过三分之一(35%)的应用程序包含的是非SSL链接。攻击者会利用这个缺点截获流量并注入任意JavaScript/ HTML代码来创建一个伪造的登录提示或尝试类似的诈骗场景。

此外30%的应用程序无法验证传入的数据,从而有可能受到JavaScript注入式攻击。不过自2013年至今已有很大的改善。

测试还包括二进制和文件系统的分析,分析发现15%应用程序存储有未加密的敏感信息,例如在文件系统中通过数据库或者其他明文文件存储有关客户的银行账户和交易历史的具体信息。

桑切斯表示,大多数应用程序都通过验证SSL证书或删除明文流量增加了数据传输的安全性,减少了用户遭受中间人攻击的风险。虽然总体危险有所下降,仍然有大量的应用程序在文件系统中存储不安全的数据。许多人仍然容易受到客户端攻击。有一小部分应用程序提供其他身份验证解决方案,而大部分仍然依靠简单的用户名和密码进行认证。40个app中只有17个(42.5%)提供替代身份验证解决方案,以减轻泄漏用户凭证和私人信息的风险。

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。
原文链接:http://www.theregister.co.uk/2015/12/18/ios_banking_app_audit/
参与讨论,请先 登录 | 注册

用户评论