وجود ضعف ها در برنامه های کاربردی بانکداری تلفن همراه

وجود ضعف ها در برنامه های کاربردی بانکداری تلفن همراه

یک تجزیه و تحلیل امنیتی در خصوص برنامه‌های کاربردی بانکداری آنلاین برای دستگاه‌های iOS نشان داده که بسیاری از آنها در برابر حملات مختلف آسیب‌ پذیر می‌باشند و اطلاعات حساس را افشاء می‌کنند.
به نقل از فن آوری اطلاعات ایران، آریل سانچز مشاور امنیتی شرکت IOActive تشریح کرد که چگونه برنامه های کاربردی بانکداری با سرورها ارتباط برقرا می کنند چگونه دادهها را به صورت محلی ذخیره می کنند و هم چنین چه اطلاعاتی از طریق لاگها افشاء می شوند و چه آسیب پذیریهایی در کد این برنامه ها وجود دارد.

محققان دریافتند که تمامی برنامه های آزمایش شده می توانند بر روی دستگاههای jailbroken نصب و اجرا شوند. این کار به تنهایی یک مخاطره امنیتی به حساب میاید زیرا jailbreaking حفاظتهای امنیتی iOS رااز بین می برد و به برنامه هایی که برروی دستگاه نصب هستند اجازه می دهد تا به منابع محدود شده سایر برنامه ها دسترسی یابد.
در دستگاههایی که jailbroken نشده اند این دسترسی وجود ندارد. سانچز دریافت در حالی که برنامه های کاربردی بانکداری عموماً برای ارتباطات حساس از رمزگذاری SSL استفاده می کنند، ۹۰ درصد از برنامه هایی که مورد آزمایش قرار گرفتند در حین اجرا می توانند چندین ارتباط ناامن برقرار کنند.
این مسئله به مهاجمانی که ترافیک شبکه را رهگیری می کنند اجازه می دهد تا کدهای دلخواه جاوا اسکریپت یا HTML را تزریق کنند. به عنوان مثال مهاجمان می توانند با استفاده از این روش صفحه ورودی جعلی را به کاربر بر نامه نشان دهند یا سایر حملات مهندسی اجتماعی را پیاده سازی نمایند.
علاوه بر این، ۴۰ درصد از برنامه ها اعتبار گواهینامه های دیجیتالی را که از سرور دریافت کردند، ارزیابی نمی کنند و این مسئله برنامه ها را در برابر حملات man-in-the-middle آسیب پذیر می کند. با توجه به یافته های محققان، سانچز توصیه های زیر را به تولیدکنندگان برنامه های کاربردی بانکداری پیشنهاد می‌دهد.
-اطمینان حاصل شود که تمامی ارتباطاتی که ایجاد می شود از پروتکل های ارتباطی امن استفاده میکند.
-اجرای اعتبارسنجی گواهینامه های SSL
-رمزگذاری داده های حساسی که توسط برنامه های کاربردی ذخیره می شوند.
-بهبود تشخیص jailbreaking
-حذف اظهارات و اطلاعات اشکال زدایی و حذف تمامی اطلاعات توسعه برنامه از روی محصولات نهایی

کد خبر: 18860 گروه خبری: اخبار موبایل منبع خبر: iritn.com

موضوع: وجود ضعف ها در برنامه های کاربردی بانکداری تلفن همراه

ابزارهای موضوع

نحوه نمایش موضوع

وجود ضعف ها در برنامه های کاربردی بانکداری تلفن همراه

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

کلمات کلیدی این موضوع

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

وجود ضعف ها در برنامه های کاربردی بانکداری تلفن همراه
یک تجزیه و تحلیل امنیتی در خصوص برنامه‌های کاربردی بانکداری آنلاین برای دستگاه‌های iOS نشان داده که بسیاری از آنها در برابر حملات مختلف آسیب‌ پذیر می‌باشند و اطلاعات حساس را افشاء می‌کنند. به نقل از فن آوری اطلاعات ایران، آریل سانچز مشاور امنیتی شرکت IOActive تشریح کرد که چگونه برنامه های کاربردی بانکداری با سرورها ارتباط برقرا می کنند چگونه دادهها را به صورت محلی ذخیره می کنند و هم چنین چه اطلاعاتی از طریق لاگها افشاء می شوند و چه آسیب پذیریهایی در کد این برنامه ها وجود دارد. محققان دریافتند که تمامی برنامه های آزمایش شده می توانند بر روی دستگاههای jailbroken نصب و اجرا شوند. این کار به تنهایی یک مخاطره امنیتی به حساب میاید زیرا jailbreaking حفاظتهای امنیتی iOS رااز بین می برد و به برنامه هایی که برروی دستگاه نصب هستند اجازه می دهد تا به منابع محدود شده سایر برنامه ها دسترسی یابد. در دستگاههایی که jailbroken نشده اند این دسترسی وجود ندارد. سانچز دریافت در حالی که برنامه های کاربردی بانکداری عموماً برای ارتباطات حساس از رمزگذاری SSL استفاده می کنند، ۹۰ درصد از برنامه هایی که مورد آزمایش قرار گرفتند در حین اجرا می توانند چندین ارتباط ناامن برقرار کنند. این مسئله به مهاجمانی که ترافیک شبکه را رهگیری می کنند اجازه می دهد تا کدهای دلخواه جاوا اسکریپت یا HTML را تزریق کنند. به عنوان مثال مهاجمان می توانند با استفاده از این روش صفحه ورودی جعلی را به کاربر بر نامه نشان دهند یا سایر حملات مهندسی اجتماعی را پیاده سازی نمایند. علاوه بر این، ۴۰ درصد از برنامه ها اعتبار گواهینامه های دیجیتالی را که از سرور دریافت کردند، ارزیابی نمی کنند و این مسئله برنامه ها را در برابر حملات man-in-the-middle آسیب پذیر می کند. با توجه به یافته های محققان، سانچز توصیه های زیر را به تولیدکنندگان برنامه های کاربردی بانکداری پیشنهاد می‌دهد. -اطمینان حاصل شود که تمامی ارتباطاتی که ایجاد می شود از پروتکل های ارتباطی امن استفاده میکند. -اجرای اعتبارسنجی گواهینامه های SSL -رمزگذاری داده های حساسی که توسط برنامه های کاربردی ذخیره می شوند. -بهبود تشخیص jailbreaking -حذف اظهارات و اطلاعات اشکال زدایی و حذف تمامی اطلاعات توسعه برنامه از روی محصولات نهایی
کد خبر: 18860 گروه خبری: اخبار موبایل منبع خبر: iritn.com