یک تجزیه و تحلیل امنیتی در خصوص برنامههای کاربردی بانکداری
آنلاین برای دستگاههای iOS نشان داده که بسیاری از آنها در برابر حملات
مختلف آسیب پذیر میباشند و اطلاعات حساس را افشاء میکنند.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، آریل سانچز مشاور امنیتی شرکت IOActive تشریح کرد که چگونه برنامه
های کاربردی بانکداری با سرورها ارتباط برقرا می کنند چگونه دادهها را به
صورت محلی ذخیره می کنند و هم چنین چه اطلاعاتی از طریق لاگها افشاء می
شوند و چه آسیب پذیریهایی در کد این برنامه ها وجود دارد.
محققان دریافتند که تمامی برنامه های آزمایش شده می توانند بر روی
دستگاههای jailbroken نصب و اجرا شوند. این کار به تنهایی یک مخاطره امنیتی
به حساب میاید زیرا jailbreaking حفاظتهای امنیتی iOS رااز بین می برد و
به برنامه هایی که برروی دستگاه نصب هستند اجازه می دهد تا به منابع محدود
شده سایر برنامه ها دسترسی یابد.
در دستگاههایی که jailbroken نشده اند این دسترسی وجود ندارد. سانچز
دریافت در حالی که برنامه های کاربردی بانکداری عموماً برای ارتباطات حساس
از رمزگذاری SSL استفاده می کنند، ۹۰ درصد از برنامه هایی که مورد آزمایش
قرار گرفتند در حین اجرا می توانند چندین ارتباط ناامن برقرار کنند.
این مسئله به مهاجمانی که ترافیک شبکه را رهگیری می کنند اجازه می دهد
تا کدهای دلخواه جاوا اسکریپت یا HTML را تزریق کنند. به عنوان مثال
مهاجمان می توانند با استفاده از این روش صفحه ورودی جعلی را به کاربر بر
نامه نشان دهند یا سایر حملات مهندسی اجتماعی را پیاده سازی نمایند.
علاوه بر این، ۴۰ درصد از برنامه ها اعتبار گواهینامه های دیجیتالی را
که از سرور دریافت کردند، ارزیابی نمی کنند و این مسئله برنامه ها را در
برابر حملات man-in-the-middle آسیب پذیر می کند. با توجه به یافته های
محققان، سانچز توصیه های زیر را به تولیدکنندگان برنامه های کاربردی
بانکداری پیشنهاد میدهد.
-اطمینان حاصل شود که تمامی ارتباطاتی که ایجاد می شود از پروتکل های ارتباطی امن استفاده میکند.
-اجرای اعتبارسنجی گواهینامه های SSL
-رمزگذاری داده های حساسی که توسط برنامه های کاربردی ذخیره می شوند.
-بهبود تشخیص jailbreaking
-حذف اظهارات و اطلاعات اشکال زدایی و حذف تمامی اطلاعات توسعه برنامه از روی محصولات نهایی