6 lỗ hổng bảo mật được tìm thấy trong nhiều ứng dụng ngân hàng
- Diem Do
Tất cả những ứng dụng trong cuộc sống của bạn, bạn hy vọng an toàn nhất là ứng dụng ngân hàng của bạn. Thật không may,chịu trách nhiệm đối với nhiều ứng dụng ngân hàng đang tạo ra nhiều sai lầm bảo mật nghiêm trọng đang tồn tại lỗ hổng trong các ứng dụng. Theo như nghiên cứu của Ariel Sanchez thuộc IOActive đã tìm thấy khoảng 40 ứng dụng từ 60 ngân hàng lớn có ít nhất một lỗ hổng bảo mật.
Ông ấy đã không nêu tên lên, nhưng Ariel đã kiểm tra những ứng dụng ngân hàng trên iOS từ Châu Âu, Châu Á, Trung Đông, Úc, Ấn Độ, đến Nam Mỹ, Bắc Mỹ.
Nhiều ngân hàng đã mắc phải sai lầm nghiêm trọng khi đề cập đến mã hóa SSL đúng cách, thẩm định và thực thi các tính năng an toàn.
– 90% những ứng dụng đã được kiểm nghiệm đã có sự kết nối mà không cần mã hóa SSL đúng cách
– 70% đã không có các giải pháp thẩm định
– 50% đã sử dụng tính năng trên iOS được gọi là UIWebView không an toàn- được thiết kế để hiển thị lên nội dung web trong những ứng dụng gốc (native app)
– 40% đã không phê chuẩn tính xác thực của các giấy chứng nhận kỹ thuật số nhận được từ một máy chủ
– 20% được biên dịch mà không sử dụng các tính năng được thiết kế để hạn chế rủi ro của các cuộc tấn công bộ nhớ
– Nhiều ứng dụng tiếp cận với các thông tin nhạy cảm thông qua các log trong hệ thống iOS và các log bị “crash”
Những lỗ hổng này mở cửa cho một loạt các vấn đề tiềm tàng. Vấn đề xác minh mở cửa cho các cuộc tấn công vào bên trong và một số các lỗ hổng bảo mật này là do nhúng vào các đoạn JavaScript đó là một mối đe dọa. Cuối cùng, các hacker có thê lấy được các thông tin cá nhân của người dùng bằng cách chuyển hướng chúng đến các trang web giả mạo hay thu thập các thông tin từ các log.
May mắn các bước thực hiện này, lập trình viên ứng dụng ngân hàng và các kiểm thử viên có thể ngăn chặn được các lỗ hổng bảo mậ này. Theo như PCWorld cho biết:
“Dựa trên các nghiên cứu của Sanchez, ông đã thực hiện một số các đề nghị đến các lập trình viên cho các ứng dụng di động ngân hàng, như việc đảm bảo tất cả các kết nối được thực hiện sử dụng giao thức chuyển giao an toàn; bắt buộc phê chuẩn chứng nhận SSL; mã hóa dữ liệu nhạy cảm được lưu trữ bởi các ứng dụng bằng cách sử dụng giao diện lập trình ứng dụng bảo vệ dữ liệu trên iOS; cải thiện việc phát hiện “jailbreak”, làm cho các đoạn code lắp ráp khó hiểu, và sử dụng kỹ thuật “antidebug” để làm chậm kỹ thuật đảo ngược; gỡ bỏ lỗi và các thông tin và xóa bỏ tất cả các thông tin phát triển từ các sản phẩm cuối.”
Nếu bạn muốn tìm hiểu nhiều hơn nữa hãy tìm hiểu thêm từ các đề nghị được tìm thấy trong Bạch Thư (WhitePaper) Kiểm thử bảo mật cho ứng dụng di động.
Nguồn bài viết : developer-tech.com