移动证券交易应用存在安全漏洞,或将泄露用户敏感数据
2017-09-28 10:26:59
hackernews.cc 9 月 26 日消息,网络安全公司 研究人员 alejandro hernández 近期通过测试 google 应用商店和苹果商店中最常用的 21 款移动证券交易应用程序后发现多处安全漏洞,可导致泄露用户密码及其财务信息。
研究员 hernández 通过分析了 21 款应用程序的生物识别身份验证、隐私模式、锁定时间、加密技术、root 检测、社交媒体风险等功能后发现有 4 款应用以明文形式暴露用户密码,这意味着能够物理访问设备的攻击者可以轻松登录交易账号并窃取资金。此外,近 2/3 的应用程序将敏感数据发送到日志文件,允许具备物理访问权限的攻击者了解用户的净值、投资策略与账户余额。
图1:ioactive 针对 21 款应用的评分审计结果
据悉,上述应用程序中有 2 款使用了未加密的 http 通道传输与接收数据;13 款应用虽然使用了加密的 https 通道,但不会通过验证其 ssl 证书检查远程节点。如果用户使用公共 wi-fi 热点而未采取防御措施时,这两处漏洞都将使不法分子利用 “中间人(mitm)” 攻击窃听与篡改重要数据。
图2:测试应用程序中存在 cleartext 密码问题
ioactive 表示,他们在其研究完成后立即通知了此类应用程序的开发人员。由于事件仍在处理当中,ioactive 决定暂不公开测试应用名称。此外,为更好的保障用户交易环境,公司鼓励监管机构提高平台安全态势。
原作者:john leyden,译者:青楚
本文由 翻译整理,封面来源于网络。转载请注明“转自 hackernews.cc ” 并附上原文链接
【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信