当前位置: 首页> 科技公司

研究:iOS设备专用的移动银行安全分析软件存在安全漏洞

发布时间:20-06-05

来自全球60家金融〒机构之iOS设Ю备专用的移动银行安а〓全分析软件被发现,存▄在许多会招致各种恶♦意攻击,并曝露敏感信息的安全漏洞。

安全▂▃▅▆█方案商IOAc∏ti⊙ve∩۩..顾问Arie‖∠l Sanchez分别针对下述问◈题进щ行分析研究,这些银行应用软件到底Ⅵ是г如何与服务器沟通╜、它们如何在本地端储存数*据、它们是否能在符合安全选项的情况下进行编译、┝它们透过日志外泄了什么样的信息,以б及在程序代码中是否存在安۩๑全漏洞等。

该安全研究人员发·现,所有受测应用软件皆能ω安装并┎执行在越狱(JB)设备上。越狱设备本身就是个安全风险,因为越狱会规≦避iOS的保░护,并к允许执行在▧设备上的应⊙用软件,可以存取通常≤在非越狱设备上所无法※存取到之其他受限制来源的应用软件。

尽管银行应用软件多半会针对ↇ敏感通讯采用SSL加密机制,但↖San⌒chez发现●,90ↀ%的受测应用软件在运行过程中,也会另外の发起许多非加密的联机。这会让能拦劫到该流量的恶意攻击者(例如在۩一个不安全的无线网络中),将任意JavaScripЁt或HTML程序代码╬植入到流量中,例如对应用软件用户显示假冒的登入提示,抑或发动其他社交工程攻击。

再者▕,即使↙在使用加密机制时,≡40%的受测应用软件,并θ未对┓接收至服务器上数字证书的真实性进行验证,结果导致他们易受采用假冒凭证之中间人攻击(man-in-the-midd♠le )的风险。

移⇔动信息化交流QQ群:ⓞ一号群:211029692 二号群:『344692795 CIO交流群:316076815(需▐认证)

上一篇: MWC 2017:苹果将与 SAP 联手在 3 月推出首款企业应用
下一篇: 应用内购买:推动移动收入的洞察报告