نقص پیاده‌سازی بحرانی در بیشتر برنامه‌های بانکی موبایلی

خلاصه: یک تیم از محققان امنیتی یک نقص پیاده‌سازی بحرانی را در بیشتر برنامه‌های بانکی موبایل کشف کردند که مجوزهای میلیون‌ها کاربر را نسبت به هکر‌ها آسیب‌پذیر می‌کرد. به‌گفته‌ی محققان برنامه‌های آسیب‌پذیر به یک مهاجم که به همان شبکه‌ی قربانی متصل شده است، این امکان را می‌دهد که اتصال SSL را قطع کند و مجوز بانکی کاربر مانند نام کاربری، پسورد و پین‌کد را حتی اگر برنامه‌ها از ویژگی SSL pinning استفاده کنند بازیابی کند.

یک تیم از محققان امنیتی یک نقص پیاده‌سازی بحرانی را در بیشتر برنامه‌های بانکی موبایل کشف کردند که مجوزهای میلیون‌ها کاربر را نسبت به هکر‌ها آسیب‌پذیر می‌کند. این آسیب‌پذیری توسط محققان دانشگاه بیرمنگام کشف شده است. این محققان هزاران برنامه‌ی بانکی مختلف اندروید و iOS  را تست کردند و دریافتند که تعدادی از آن‌ها تحت تاثیر یک مشکل رایج قرار دارند که کاربران را در برابر حملات مرد میانی آسیب‌پذیر می‌کند.

برنامه‌های بانکی تحت تأثیر واقع‌شده شامل HSBC، NatWest، Co-op، Santander و بانک Allied Irish  می‌باشد که پس از گزارش محققان به‌روزرسانی کردند.

به‌گفته‌ی محققان، برنامه‌های آسیب‌پذیر به یک مهاجم که به همان شبکه‌ی قربانی متصل شده است این امکان را می‌دهد که اتصال SSL را قطع کند و مجوز بانکی کاربر مانند نام کاربری، پسورد و پین‌کد را حتی اگر برنامه‌ها از ویژگی SSL pinning استفاده کنند بازیابی کند.

SSL pinning یک ویژگی امنیتی است که از حملات مرد میانی (MITM) با فعال‌سازی یک لایه‌ی اضافی از اعتماد بین هاست‌های لیست‌ شده و دستگاه‌ها، جلوگیری می‌کند.SSL pinning به خنثی کردن حملات مبتنی بر شبکه کمک می‌کند.

دو بخش کلیدی برای تأیید اتصال SSL وجود دارد : اولی (احراز اصالت) برای تأیید این است که گواهی از یک منبع قابل اعتماد است و دومی (احراز مجوز) اطمینان از این است که گواهی مناسب سروری است که می‌خواهید به آن متصل شوید.

محققان متوجه شدند که به‌خاطر عدم تأیید hostname، چندین برنامه‌ی بانکی چک نمی‌کنند که به یک منبع قابل اعتماد متصل شده‌اند.

تأیید hostname این اطمینان را حاصل می‌کند که hostname در URL که برنامه‌های بانکی به آن متصل می‌شوند مطابق با hostname مجوز دیجیتالی است که سرور به‌عنوان بخشی از اتصال SSL برمی‌گرداند.

علاوه‌ بر این موضوع، محققان یک حمله‌ی فیشینگ درون‌برنامه‌ای را که بانک‌های Santander و Allied Irish را تحت تأثیر قرار می‌دادند را شرح دادند که می‌توانست به هکرها امکان سرقت قسمتی از اسکرین قربانی را در زمانی که برنامه در حال اجرا بود برای دزدیدن مجوزهای ورودی قربانی بدهد.

 محققان برای تست این آسیب‌پذیری با هزاران برنامه و به‌سرعت، ابزار خودکاری  به‌نام Spinner را ساختند.کارشناسان زیادی با NCSC (مرکز امنیت سایبری ملی) برای اطلاع به بانک‌های تحت تأثیر واقع‌شده همکاری کردند و آن‌ها نیز مشکل را قبل از افشای عمومی تحقیقات حل کردند.