Os usuários de aplicativos para dispositivos móveis podem começar a se sentir um pouco mais seguros no futuro. Uma equipe da Universidade de Birmingham desenvolveu uma ferramenta para realizar testes de segurança semi-automatizados desses aplicativos.

Em particular, a ferramenta pode identificar vulnerabilidades críticas em aplicativos bancários - os pesquisadores identificaram problemas nos aplicativos do banco HSBC, NatWest e Co-op..

Isso permitiu que atacantes, conectados à mesma rede que as vítimas (por exemplo, em um WiFi público ou corporativo), executassem uma chamada “Homem no ataque médio” e recuperar credenciais, como nomes de usuário e senhas / códigos PIN.

Embora os bancos tivessem despendido um grande esforço na manutenção de segurança rigorosa, uma tecnologia chamada certificação de certificação estava se mostrando vulnerável. Os testes de Birmingham descobriram que os aplicativos dos principais bancos globais continham essa falha, que, se explorada, poderia ter permitido que um invasor descriptografasse, visualizasse e modificasse o tráfego de rede dos usuários do aplicativo. Um invasor com esse recurso pode executar qualquer operação que normalmente é possível no aplicativo.

Esta não foi a única vulnerabilidade identificada. Os pesquisadores também encontraram ataques de phishing no aplicativo contra o banco Santander e Allied Irish. Isso permitiria que um invasor assumisse parte da tela para phishing das credenciais de login da vítima..

Corrigindo a falha

Os pesquisadores trabalharam com os bancos envolvidos e com o Centro Nacional de Segurança Cibernética do governo do Reino Unido para corrigir todas as vulnerabilidades, e as versões atuais de todos os aplicativos afetados por essa vulnerabilidade de pinagem agora estão seguras..

A pesquisa foi realizada pelo Dr. Tom Chothia, Dr Flavio Garcia e PhD Candidato Chris McMahon Stone, todos os membros do Grupo de Segurança e Privacidade da Universidade de Birmingham

Dr. Tom Chothia disse, “Em geral, a segurança dos aplicativos que examinamos era muito boa, as vulnerabilidades que encontramos eram difíceis de detectar e só pudemos encontrar tantas fraquezas devido à nova ferramenta que desenvolvemos.” ele adicionou “É impossível dizer se essas vulnerabilidades foram exploradas, mas se foram atacantes poderiam ter acesso ao aplicativo bancário de qualquer pessoa conectada a uma rede comprometida”.

  • Melhores ofertas de celular em dezembro