Найдена зияющая «дыра» в приложениях для банкинга. Клиенты крупнейших банков мира рискуют остаться без денег

Безопасность ИТ в банках
мобильная версия
, Текст: Валерия Шмырова

В приложениях таких банков как HSBC, NatWest, Co-op, Santander и AIB найдена уязвимость, которую невозможно выявить обычными средствами проверки. Она позволяет хакеру похитить персональные данные и совершить любую операцию в приложении.


«Дыра» в банковских приложениях

Критическая уязвимость в приложениях известных банков позволяет злоумышленнику выкрасть персональные данные пользователя, включая имя, пароль и пин-код. Уязвимость была найдена в приложениях таких банков как Банковская корпорация Гонконга и Шанхая (HSBC), Национальный банк Вестминстера (NatWest), британский Co-operative, Bank of America Health, крупнейший банк Испании Santander и крупнейший банк Ирландии Allied Irish bank (AIB).

Угроза обнаружена в приложениях как для iOS, так и для Android. О ней сообщили исследователи из Группы безопасности и приватности Бирмингемского университета.

Как это работает

Помимо кражи персональных данных хакер может дешифровать, просматривать и модифицировать весь сетевой трафик, который идет от приложения, и осуществлять любые операции, которые можно осуществлять через приложение. В случае с Santander и AIB хакер также может провести фишинговую атаку прямо в приложении, захватив контроль над частью экрана.

В приложениях крупнейших банков обнаружена скрытая уязвимость

Уязвимость позволяет злоумышленнику, находящемуся в той же сети, что и жертва, занять позицию «человека посередине», чтобы выкрасть данные. Это становится возможным благодаря багу в пиннинге сертификата. Пиннинг сертификата — это внедрение используемого на сервере SSL-сертификата в код мобильного приложения. Обычно эта практика служит укреплению безопасности.

История обнаружения

Исследователям из Бирмингемского университета удалось создать инструмент для полуавтоматического тестирования безопасности мобильных приложений на предмет наличия данной уязвимости. Обычными антивирусами действия «человека посередине» в этом случае не замечаются. Пиннинг сертификата способен скрыть отсутствие должной верификации имени хоста, что и делает атаку возможной.

Протестировав в общей сложности 400 приложений, исследователи выявили этот баг в ряде банковских продуктов. По словам авторов проекта, в целом с безопасностью этих продуктов все в порядке, просто найденная «дыра» действительно не поддавалась обнаружению.

Как сообщают исследователи, поставленные в известность банки охотно пошли на сотрудничество с университетом, Национальным центром кибербезопасности и друг с другом для скорейшей ликвидации уязвимости.