Investigadores de la Universidad de Birmingham han desarrollado una herramienta para realizar pruebas de seguridad semiautomáticas de aplicaciones de teléfonos móviles. Después de ejecutar la herramienta en una muestra de 400 aplicaciones críticas de seguridad, pudieron identificar una vulnerabilidad crítica en aplicaciones bancarias, incluyendoaplicaciones de HSBC, NatWest, Co-op y Bank of America Health.
Esta vulnerabilidad permitió a un atacante, que está conectado a la misma red que la víctima por ejemplo, WiFi público o corporativo, realizar un llamado "Ataque del hombre en el medio" y recuperar las credenciales del usuario, como nombre de usuario y contraseña /código PIN.
Los investigadores descubrieron que los bancos habían puesto mucho esfuerzo en la seguridad de sus aplicaciones, sin embargo, una tecnología en particular utilizada, llamada "fijación de certificados", que normalmente mejora la seguridad, significaba que las pruebas estándar no detectaron unvulnerabilidad grave que podría permitir a los atacantes tomar el control de la banca en línea de una víctima.
Las pruebas encontraron que las aplicaciones de algunos de los bancos más grandes del mundo contienen esta falla, que si se explota, podría haber permitido a un atacante descifrar, ver y modificar el tráfico de red de los usuarios de la aplicación. Un atacante con esta capacidad podría por lo tantorealice cualquier operación que normalmente sea posible en la aplicación.
También se encontraron otros ataques, incluidos "ataques de phishing de aplicaciones" contra Santander y el banco irlandés aliado. Estos ataques habrían permitido que un atacante se hiciera cargo de parte de la pantalla mientras la aplicación se está ejecutando y la use para suplantar las credenciales de inicio de sesión de la víctima.
Los investigadores trabajaron con los bancos involucrados y el Centro Nacional de Seguridad Cibernética del gobierno del Reino Unido para corregir todas las vulnerabilidades, y las versiones actuales de todas las aplicaciones afectadas por esta vulnerabilidad de fijación ahora son seguras.
Los investigadores recomiendan que todos los usuarios de aplicaciones bancarias se aseguren de que siempre estén usando la versión más reciente de la aplicación y que siempre instalen actualizaciones tan pronto como se ofrezcan.
La investigación fue realizada por el Dr. Tom Chothia, el Dr. Flavio García y el candidato a doctorado Chris McMahon Stone, que son todos miembros del Grupo de Seguridad y Privacidad de la Universidad de Birmingham
El Dr. Tom Chothia dijo: "En general, la seguridad de las aplicaciones que examinamos fue muy buena, las vulnerabilidades que encontramos fueron difíciles de detectar y solo pudimos encontrar tantas debilidades debido a la nueva herramienta que desarrollamos", agregó "Esimposible saber si estas vulnerabilidades fueron explotadas pero si fueran atacantes podrían haber tenido acceso a la aplicación bancaria de cualquier persona conectada a una red comprometida ".
El Dr. Flavio García dijo: "La fijación de certificados es una buena técnica para mejorar la seguridad de una conexión, pero en este caso, dificultó a los evaluadores de penetración identificar el problema más grave de no tener una verificación adecuada del nombre de host"
Chris McMahon Stone dijo: "Como esta falla es generalmente difícil de detectar a partir de técnicas de análisis normales, hemos desarrollado una herramienta de detección que es semiautomatizada y fácil de operar. Esto ayudará a los desarrolladores y probadores de penetración a garantizar que sus aplicaciones estén seguras contraeste ataque "
Algunos resultados iniciales se dieron en el documento "Un análisis de seguridad de TLS en las principales aplicaciones bancarias del Reino Unido" presentado en la Conferencia sobre criptografía financiera y seguridad de datos, en enero, y los resultados completos se darán en el documento "Spinner: Semi-Detección automática de fijación sin verificación de nombre de host ", que se presentarán en la 33ª Conferencia Anual de Aplicaciones de Seguridad Informática en Orlando.
Fuente de la historia :
Materiales proporcionados por Universidad de Birmingham . Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cita esta página :