یک تجزیه و تحلیل امنیتی در خصوص برنامههای کاربردی بانکداری آنلاین برای دستگاههای iOS نشان داد که دستگاههای jailbroken در برابر حملات مختلف آسیبپذیر هستند و اطلاعات حساس را افشا میکنند.
یک تجزیه و تحلیل امنیتی در خصوص برنامههای کاربردی بانکداری آنلاین برای دستگاههای iOS نشان داد که بسیاری از آنها در برابر حملات مختلف آسیب پذیر هستند و اطلاعات حساس را افشا میکنند.
آریل سانچز، مشاور امنیتی شرکت IOActive، تشریح کرد که چگونه برنامههای کاربردی بانکداری با سرورها ارتباط برقرار میکنند، چگونه دادهها را به صورت محلی ذخیره میکنند و همچنین چه اطلاعاتی از طریق لاگها افشا میشوند و چه آسیب پذیریهایی در کد این برنامهها وجود دارد.
محققان دریافتند که تمامی برنامههای آزمایش شده میتوانند روی دستگاههای jailbroken نصب و اجرا شوند. این کار به تنهایی یک مخاطره امنیتی به حساب میآید. زیرا jailbreaking حفاظتهای امنیتی iOS را از بین میبرد و به برنامههایی که روی دستگاه نصب هستند اجازه میدهد تا به منابع محدود شده سایر برنامهها دسترسی یابد.
در دستگاه هایی که jailbroken نشدهاند این دسترسی وجود ندارد.
سانچز دریافت در حالی که برنامههای کاربردی بانکداری عموما برای ارتباطات حساس از رمزگذاری SSL استفاده میکنند، 90 درصد از برنامههایی که مورد آزمایش قرار گرفتند در حین اجرا میتوانند چندین ارتباط ناامن برقرار کنند. این مساله به مهاجمانی که ترافیک شبکه را رهگیری می کنند اجازه میدهد تا کدهای دلخواه جاوا اسکریپت یا HTML را تزریق کنند. به عنوان مثال مهاجمان میتوانند با استفاده از این روش صفحه ورودی جعلی را به کاربر بر نامه نشان دهند یا سایر حملات مهندسی اجتماعی را پیاده سازی کنند.
علاوه بر این، 40 درصد از برنامه ها اعتبار گواهینامههای دیجیتالی را که از سرور دریافت کردند، ارزیابی نمیکنند و این مساله برنامهها را در برابر حملات man-in-the-middle آسیب پذیر میکند.