9 은행 응용 프로그램의 보안 결함으로 10 백만 사용자 정보 유출 가능

모두는 아니더라도 대부분의 보안 관련 앱은 서버와 휴대 전화간에 안전하게 암호화 된 링크를 만들기 위해 TLS 연결로 알려진 것을 사용합니다. 이렇게하면 휴대 전화에서 은행 업무를 수행 할 때 실제로 임의의 위험한 서버가 아닌 은행과 통신하게됩니다.

수요일에 발표 된 올랜도의 컴퓨터 보안 응용 컨퍼런스 (Computer Security Applications Conference)에 발표 된 논문에 따르면 버밍엄 대학교 (University of Birmingham) 연구진은 TLS 연결을 설정할 때 9 개의 인기있는 은행 응용 프로그램이 적절한 예방 조치를 취하지 않았 음을 발견했다. 이 응용 프로그램은 결합 된 사용자 기반이 1,000 만 명이며이 결함이 악용 된 경우 은행 로그인 정보가 손상 될 수 있습니다.

버밍엄 대학교 (University of Birmingham)의 컴퓨터 보안 박사 과정 학생 인 크리스 맥마한 스톤 (Chris McMahon Stone)은 "이 은행이 운영 보안을 수행 할 수 있다고 믿는 사용자는 심각하다" 역. "이 결함은 현재 수정되었으며 우리는 관련된 모든 은행에이를 공개했습니다. 그러나 침입자가이 취약점을 알고 사용자가 오래된 응용 프로그램을 실행하고 있다고 말하면 악용하는 것은 매우 간단합니다. 유일한 요구 사항은 공격자가 피해자와 동일한 네트워크에 있어야하므로 공용 WiFi 네트워크와 같아야한다는 것입니다.

다음은 영향을받는 앱 목록입니다.

TLS 연결은 은행 로그인 정보를 입력 할 때 은행과 다른 사람에게만 정보를 보내도록 보장합니다. 이 보안 예방 조치는 2 단계 프로세스입니다.

암호로 고쳐 쓰는 서명 된 인증서를 보내는 은행이나 기타 기관에서 시작하여 실제로 주장하는 사람인지 확인합니다. 이 서명은이 프로세스에서 신뢰할 수있는 제 3자인 인증 기관에서 제공합니다.

일단이 인증서가 전송되고 응용 프로그램이 합법적인지 확인하면 서버의 호스트 이름을 확인해야합니다. 단순히 연결하려는 서버의 이름을 확인하기 만하면 다른 사람과의 연결을 설정하지 않습니다.

이 두 번째 단계는이 은행들이 공을 떨어 뜨린 것입니다.

"우리가 발견 한 이러한 응용 프로그램 중 일부는 인증서가 올바르게 서명되었는지 확인했지만 호스트 이름을 제대로 확인하지 못했습니다."라고 Stone은 말합니다. "그래서 그들은 모든 서버에 대해 유효한 인증서를 기대할 것입니다."

즉, 공격자가 인증서를 스푸핑하고 중간자 공격을 수행 할 수 있습니다. 침입자가 은행과 사용자 간의 연결을 호스팅하는 곳. 이렇게하면 그들에게 모든 해당 연결 중에 전송 된 정보

이 결함이 수정되었지만 위에 나열된 앱을 사용하는 경우 절대로 필요한 것 수정 프로그램을 받기 위해 앱이 업데이트되었는지 확인하십시오. Stone은 또한 사람들이 man-in-the-middle 공격의 가능성을 피하기 위해 자신의 네트워크 인 집에서 모바일 뱅킹을 수행 할 것을 강력하게 촉구합니다.

웹에서 안전하게 지켜라, 친구.