وجود ضعف‌های قابل توجه در برنامه‌های كاربردی بانكداری تلفن همراه

وجود ضعف‌های قابل توجه در برنامه‌های كاربردی بانكداری تلفن همراه

تاریخ ایجاد

شماره: IRCNE2014012064
تاريخ:22/10/92

يك تجزيه و تحليل امنيتي در خصوص برنامه هاي كاربردي بانكداري آنلاين براي دستگاه هاي iOS نشان داد كه بسياري از آن ها در برابر حملات مختلف آسيب پذير مي باشند و اطلاعات حساس را افشاء مي كنند.
آريل سانچز، مشاور امنيتي شركت IOActive، تشريح كرد كه چگونه برنامه هاي كاربردي بانكداري با سرورها ارتباط برقرا مي كنند، چگونه داده ها را به صورت محلي ذخيره مي كنند و هم چنين چه اطلاعاتي از طريق لاگ ها افشاء مي شوند و چه آسيب پذيري هايي در كد اين برنامه ها وجود دارد.
محققان دريافتند كه تمامي برنامه هاي آزمايش شده مي توانند بر روي دستگاه هاي jailbroken نصب و اجرا شوند. اين كار به تنهايي يك مخاطره امنيتي به حساب مي آيد زيرا jailbreaking حفاظت هاي امنيتي iOS را از بين مي برد و به برنامه هايي كه برروي دستگاه نصب هستند اجازه مي دهد تا به منابع محدود شده ساير برنامه ها دسترسي يابد. در دستگاه هايي كه jailbroken نشده اند اين دسترسي وجود ندارد.
سانچز دريافت در حالي كه برنامه هاي كاربردي بانكداري عموما براي ارتباطات حساس از رمزگذاري SSL استفاده مي كنند، 90 درصد از برنامه هايي كه مورد آزمايش قرار گرفتند در حين اجرا مي توانند چندين ارتباط ناامن برقرار كنند. اين مساله به مهاجماني كه ترافيك شبكه را رهگيري مي كنند اجازه مي دهد تا كدهاي دلخواه جاوا اسكريپت يا HTML را تزريق كنند. به عنوان مثال مهاجمان مي توانند با استفاده از اين روش صفحه ورودي جعلي را به كاربر بر نامه نشان دهند يا ساير حملات مهندسي اجتماعي را پياده سازي نمايند.
علاوه بر اين، 40 درصد از برنامه ها اعتبار گواهينامه هاي ديجيتالي را كه از سرور دريافت كردند، ارزيابي نمي كنند و اين مساله برنامه ها را در برابر حملات man-in-the-middle آسيب پذير مي كند.
با توجه به يافته هاي محققان، سانچز توصيه هاي زير را به توليدكنندگان برنامه هاي كاربردي بانكداري پيشنهاد مي دهد.

  • اطمينان حاصل شود كه تمامي ارتباطاتي كه ايجاد مي شود از پروتكل هاي ارتباطي امن استفاده مي كند
  • اجراي اعتبارسنجي گواهينامه هاي SSL
  • رمزگذاري داده هاي حساسي كه توسط برنامه هاي كاربردي ذخيره مي شوند
  • بهبود تشخيص jailbreaking
  • حذف اظهارات و اطلاعات اشكال زدايي و حذف تمامي اطلاعات توسعه برناه از روي محصولات نهايي
برچسب‌ها