据英国《每日邮报》12月6日报道,来自伯明翰大学的科研工作者最近采用半自动型安全性能测试工具对近400个手机银行手机应用进行了安全测试,发现多个银行APP存在致命漏洞,黑客可以轻易获取用户名和密码或校验密码,进行中间人攻击,发现问题的银行已经及时修复了漏洞。
该研究的发起人之一Tom Chothia博士表示:“通常意义来讲,我们检测的APP安全工作都做得很好,漏洞很难被发现,这次发现漏洞完全得益于新开发测试工具。不过如果黑客登陆破解网络下的银行APP,我们无从得知漏洞是否已经被利用。”
目前,证书锁定是APP常用于保证安全性的技术,这也就意味着一般的测试根本无法检测出可能被攻击的漏洞。研究的另一个发起人Flavio Garcia博士表示:“证书锁定的确提高了连接的安全性,但同时也给渗透测试者增加了测试难度,不利于发现主机名验证缺失等更严重的问题。”
世界几大主要银行APP都或多或少存在这样的漏洞,万一被黑客利用,黑客可以从用户端进一步解码、查看以及修改网络信息,进行一切客户端可以进行的操作。这项工具还可以发掘其他网络攻击,比如桑坦德和 爱尔兰联合银行APP存在的钓鱼攻击。APP被攻击时,屏幕被黑客控制,客户的的登陆信息被复制。
研究人员与银行以及英国政府的国家网络安全中心合作,修复了这些漏洞。当前版本的所有APP都是安全的。为了确保您的网上银行安全,研究人员建议您确保使用最新版本的APP。(实习编译:万彤 审稿:李宗泽)