Pesquisadores de segurança descobriram que alguns grandes bancos do Reino Unido e dos Estados Unidos tinham vulnerabilidades em seus aplicativos móveis, o que potencialmente permitia que partes maliciosas roubassem credenciais de login, embora esses buracos aparentemente tenham sido corrigidos..

Pesquisadores do departamento de ciência da computação da Universidade de Birmingham, no Reino Unido, descobriram que bancos como o HSBC - e também um provedor de VPN, o TunnelBear - tinham falhas em seus aplicativos iOS e Android que permitiam os chamados ataques "man in the middle" tomar lugar.

  • Escolhemos todos os melhores serviços VPN gratuitos

A questão dizia respeito à maneira como os aplicativos conduzem a 'fixação de certificados', o que permite que o software especifique um determinado certificado confiável para um determinado servidor. A vulnerabilidade estava na implementação da fixação e verificação de certificados usada ao criar uma conexão TLS, explica o Threatpost.

O resultado foi que foi possível falsificar o referido certificado e, portanto, realizar um ataque "man in the middle", no qual a parte maliciosa pode obter os detalhes de login da vítima..

Compromissos críticos

Isso é obviamente crítico quando se trata de serviços bancários on-line, e os aplicativos afetados incluíam toda uma gama de aplicativos HSBC (incluindo o aplicativo básico HSBC e o aplicativo HSBC Business), juntamente com o Bank of America Health, o Meezan Bank e o Smile Bank..

Também é preocupante que um provedor de VPN possa ter um buraco em seu software também, considerando que as Redes Privadas Virtuais têm tudo para tornar a Internet um lugar mais seguro e privado para os usuários..

De acordo com o relatório, todos os bancos corrigiram as vulnerabilidades relevantes em seus aplicativos, mas isso apenas mostra que mesmo softwares que deveriam ser ultra-seguros ainda podem ter buracos..

Embora o TunnelBear não seja mencionado, presumivelmente o provedor implementou uma correção também, você esperaria.

Os pesquisadores concluíram: “Claramente, a abundância de opções de implementação de pinagem disponíveis para desenvolvedores tem desempenhado um papel em causar essas falhas a serem feitas. Os provedores de plataforma podem reduzir esse problema fornecendo implementações padronizadas com documentação clara. Para este fim, o Google introduziu a configuração de segurança de rede no Android 7.0 SDK.

“Se os desenvolvedores de aplicativos usarem essas implementações padrão, em vez de implementarem suas próprias bibliotecas ou usar bibliotecas de terceiros, esses erros serão muito menos prováveis ​​de ocorrer.”

  • Confira os melhores serviços de VPN para obter as melhores ofertas e ofertas de VPN