ضعف برنامه‌های بانکداری تلفن همراه

یک تجزیه و تحلیل امنیتی در خصوص برنامه‌های کاربردی بانکداری آنلاین برای دستگاه‌های iOS نشان داد که بسیاری از آن‌ها در برابر حملات مختلف آسیب پذیر هستند و اطلاعات حساس را افشا می‌کنند.

آریل سانچز، مشاور امنیتی شرکت IOActive، تشریح کرد که چگونه برنامه‌‌های کاربردی بانکداری با سرورها ارتباط برقرار می‌کنند، چگونه داده‌ها را به صورت محلی ذخیره می‌کنند و همچنین چه اطلاعاتی از طریق لاگ‌ها افشا می‌شوند و چه آسیب پذیری‌هایی در کد این برنامه‌ها وجود دارد.

محققان دریافتند که تمامی برنامه‌های آزمایش شده می‌توانند روی دستگاه‌های jailbroken نصب و اجرا شوند. این کار به تنهایی یک مخاطره امنیتی به حساب می‌‌‌‌آید. زیرا jailbreaking حفاظت‌های امنیتی iOS را از بین می‌برد و به برنامه‌‌هایی که روی دستگاه نصب هستند اجازه می‌دهد تا به منابع محدود شده سایر برنامه‌ها دسترسی یابد.

در دستگاه هایی که jailbroken نشده‌اند این دسترسی وجود ندارد.

سانچز دریافت در حالی که برنامه‌های کاربردی بانکداری عموما برای ارتباطات حساس از رمزگذاری SSL استفاده می‌کنند، 90 درصد از برنامه‌هایی که مورد آزمایش قرار گرفتند در حین اجرا می‌توانند چندین ارتباط ناامن برقرار کنند. این مساله به مهاجمانی که ترافیک شبکه را رهگیری می کنند اجازه می‌دهد تا کدهای دلخواه جاوا اسکریپت یا HTML را تزریق کنند. به عنوان مثال مهاجمان می‌توانند با استفاده از این روش صفحه ورودی جعلی را به کاربر بر نامه نشان دهند یا سایر حملات مهندسی اجتماعی را پیاده سازی کنند.

علاوه بر این، 40 درصد از برنامه ها اعتبار گواهینامه‌های دیجیتالی را که از سرور دریافت کردند، ارزیابی نمی‌کنند و این مساله برنامه‌ها را در برابر حملات man-in-the-middle آسیب پذیر می‌کند.