Уязвимость в мобильных приложениях крупных банков США позволяла злоумышленникам похитить учетные данные пользователей, логины, пароли и PIN-коды.
Об этом сообщили эксперты по кибербезопасности Бирмингемского университета в своем исследовании. Уязвимость была обнаружена в приложениях банков HSBC, NatWest, Co-op, Bank of America Health, Santander и Allied Irish bank.
В настоящее время все банки уже выпустили соответствующие патчи для устранения уязвимости. Данная проблема позволяла злоумышленнику, находящемуся в той же сети, что и жертва, осуществить атаку «человек посередине» и похитить конфиденциальную информацию. Уязвимость присутствует в технологии закрепления сертификата – механизма безопасности, используемого для предотвращения мошеннических действий и атак с использованием поддельных сертификатов.
С помощью данного механизма приложения принимают только сертификаты, подписанные одним корневым удостоверяющим центром. Несмотря на то, что закрепление сертификата должно усиливать безопасность, инструмент, разработанный исследователями для выполнения полуавтоматизированной проверки безопасности мобильных приложений, выявил недостатки в технологии. Уязвимость закрепления сертификата может скрыть отсутствие корректной проверки имени хоста, позволяя осуществить атаку «человек посередине», заключили эксперты.
«В целом безопасность приложений, которые мы изучали, была на очень высоком уровне. Мы смогли найти несколько уязвимостей только благодаря разработанному нами новому инструменту», – отметил один из авторов доклада. «Невозможно определить, были ли эти уязвимости проэксплуатированы кем-либо. Однако если бы злоумышленникам это все же удалось, то они могли получить доступ к банковскому приложению любого, кто подключен к скомпрометированной сети», – добавил он.