Эта уязвимость позволила нападавшему, который связан с той же самой сетью как жертва (например, общественный WiFi или корпоративный), чтобы выполнить так называемого «Человека в Среднем Нападении» и восстановить верительные грамоты пользователя, такие как имя пользователя и пароль/PIN-код.Исследователи нашли, что банки приложили много сил для безопасности своих приложений, однако одна конкретная используемая технология – так называемое «скрепление свидетельства» – который обычно улучшает безопасность, означал, что стандартные тесты не обнаружили серьезную уязвимость, которая могла позволить нападавшим взять под свой контроль дистанционное банковское обслуживание жертвы.
Тесты нашли, что приложения от некоторых крупнейших банков в мире содержат этот недостаток, который, если эксплуатируется, возможно, позволил нападавшему расшифровать, рассматривает и изменяет сетевое движение от пользователей приложения. Нападавший с этой способностью мог, таким образом, выполнить любую операцию, которая обычно возможна на приложении.
Другие нападения были также найдены, включая «в нападениях фишинга приложения» на Сантандер и Союзнический ирландский банк. Эти нападения позволили бы нападавшему принять часть экрана, в то время как приложение бежит, и используйте это для phish для верительных грамот логина жертвы.Исследователи работали с банками, вовлеченными, и Национальный Центр Кибербезопасности британского правительства, чтобы зафиксировать все слабые места, и текущие версии всех приложений, затронутых этой уязвимостью скрепления, теперь безопасны.Исследователи рекомендуют, чтобы все пользователи банковских приложений гарантировали, что всегда используют новую версию приложения, и что они всегда устанавливают модернизации, как только им предлагают.
Исследование было выполнено доктором Томом Чотией, доктором Флавио Гарсией и доктором философии кандидатом Крисом Макмахоном Стоуном, которые являются всеми членами Security and Privacy Group в Бирмингемском университетеДоктор Том Чотия сказал, «В целом безопасность приложений, которые мы исследовали, была очень хороша, слабые места, которые мы нашли, было трудно обнаружить, и мы могли только найти столько слабых мест из-за нового инструмента, который мы разработали», он добавил, что «Невозможно сказать, эксплуатировались ли эти слабые места, но если они были нападавшими, мог бы иметь доступ к банковскому приложению любого связанного с поставившей под угрозу сетью».
Доктор Флавио Гарсия сказал, «Скрепление свидетельства – хорошая техника, чтобы улучшить безопасность связи, но в этом случае, это мешало тестерам проникновения определять более серьезную проблему наличия никакой надлежащей проверки имени хоста»Крис Макмахон Стоун сказал, «Поскольку этот недостаток вообще трудно обнаружить от нормальных аналитических методов, мы разработали инструмент обнаружения, который является полуавтоматическим и простым в эксплуатации. Это поможет разработчикам, и тестеры проникновения гарантируют, что их приложения безопасны против этого нападения».
Некоторые начальные результаты были даны в газете «Анализ безопасности TLS в Ведущих британских Банковских Приложениях», представленных на Конференции по Финансовой Криптографии и Защите информации, в январе, и полные результаты будут даны в газете «Прядильщика: полуавтоматическое Обнаружение Скрепления без Проверки Имени хоста», которые представляются на 33-й Ежегодной Конференции по Приложениям компьютерной безопасности в Орландо.