Как утверждают ИБ-эксперты Бирмингемского университета, уязвимость в мобильных приложениях крупных американских банков позволяла хакерам красть учетную информацию пользователей, включая логины, пароли и пин-коды.
Проблему обнаружили в приложениях банков Allied Irish bank, Bank of America Health, Co-op, HSBC, NatWest и Santander. На данный момент все упомянутые банки уже выпустили исправления для данной уязвимости.
С помощью этой ошибки хакер, находящийся в одной сети с жертвой, может провести атаку типа man-in-the-middle и украсть конфиденциальные сведения. Уязвимость находится в технологии закрепления сертификата. Этот защитный механизм применяется для того, чтобы предотвращать мошеннические действия и атаки с применением фальшивых сертификатов. С его помощью приложения принимают лишь сертификаты, которые подписал один и тот же корневой удостоверяющий центр.
Хотя технология закрепления сертификата призвана повысить безопасность, на деле утилита, созданная экспертами для проведения проверки уровня защиты мобильных приложений, выявила недостатки в данном механизме. Специалисты также отметили, что с помощью уязвимости закрепления сертификата можно сокрыть факт отсутствия корректной проверки имени хоста, что дает возможность осуществить атаку man-in-the-middle.
В то же время эксперты подчеркнули, что безопасность в изученных приложениях на весьма высоком уровне. Несколько уязвимостей удалось обнаружить лишь с помощью утилиты, разработанной исследователями.
«Невозможно определить, были ли эти уязвимости проэксплуатированы кем-либо. Однако если бы злоумышленникам это все же удалось, то они могли получить доступ к банковскому приложению любого, кто подключен к скомпрометированной сети», - добавил он.
