知名银行APP存安全漏洞，千万用户密码面临被盗风险

发布日期：2018-01-02

英国伯明翰大学研究人员年发布的报告显示，汇丰银行(HSBC)、Natwest和Co-op银行使用的APP应用程序存在严重漏洞，允许黑客窃取用户名和密码。

9款APP应用存在安全漏洞

研究人员开发了一款名为“Spinner”，能对APP进行半自动化安全测试。研究人员利用Spinner对400款Android和iPhone应用程序进行了分析，结果发现9款应用存在一个重大漏洞，包括美国银行(Bank of America)和汇丰银行这两家大型银行的APP。此外，国外相当热门的VPN应用程序TunnelBear也已遭受黑客入侵。这些存在漏洞的APP现已被修复。

这些APP的用户量共达到数千万，一旦被利用，黑客可连接到受害者的网络，例如工作场所或咖啡店的公共无线网络，以此执行中间人攻击获取用户名、密码和PIN码。

缺乏适当的证书主机名验证，再加上安全性要求较高的APP逐渐使用 “证书锁定”(Certificate Pinning)技术，这样一来标准测试便无法检测到严重的漏洞，从而允许攻击者控制受害者的网上银行。研究人员指出，黑客可利用该漏洞解密、查看并修改网络流量。

专家发现桑坦德银行(Santander)和爱尔兰联合银行(Allied Irish)提供的APP被发现“应用程序内网络钓鱼攻击”漏洞。这些漏洞会使攻击者在APP运行时控制部分屏幕，并借此获取受害者的登录凭证。

涉“资金”的APP应及时更新

美国银行通过电子邮件向英国媒体IBTimes UK发表声明指出，美国银行Health APP中发现的漏洞两年之前就已解决。银行自2017年6月开始不再提供这款应用，客户信息未受到影响。

英国伯明翰大学的研究人员12月6日表示，已与英国国家网络安全中心(NCSC)解决修复漏洞，并确保将补丁推送给用户。受影响的银行已参与到修复过程当中，所有网上银行用户被敦促安装更新，未安装补丁的用户将会面临风险。

伯明翰大学的研究人员汤姆·乔西亚表示，总的来说，他们研究的APP安全性很好，而发现的漏洞是难以检测的漏洞，或许只能被这款新工具检测到。研究人员无法判断这些漏洞是否被利用。

知名银行APP存安全漏洞，千万用户密码面临被盗风险

数字证书

技术支持

关于沃通

旗下网站