Ang Security Flaw sa 9 Apps sa Pagbabangko Maaaring May Leaked Info 10 Milyon Users '

$config[ads_kvadrat] not found

TOP 5 Mobile Banking Secrets - Protect your BANK Accounts ???

TOP 5 Mobile Banking Secrets - Protect your BANK Accounts ???
Anonim

Karamihan, kung hindi lahat, ginagamit ng mga sensitibong sensitibong apps kung ano ang kilala bilang isang koneksyon ng TLS upang lumikha ng isang ligtas na naka-encrypt na link sa pagitan ng kanilang mga server at ng iyong telepono. Sinisiguro nito na kapag ikaw ay, sabihin, ginagawa ang iyong pagbabangko sa iyong telepono, aktwal kang nakikipag-usap sa iyong bangko at hindi sapalarang, potensyal na mapanganib na server.

May isang maliit na problema lamang: Ayon sa isang papel na iniharap sa Miyerkules sa Taunang Computer Security Applications Conference sa Orlando, ang mga mananaliksik sa University of Birmingham ay natagpuan ang siyam na sikat na apps ng pagbabangko ay hindi pa nakakakuha ng tamang pag-iingat kapag nag-set up ng kanilang TLS connection. Ang mga app na ito ay may pinagsamang base ng gumagamit ng 10 milyong tao, lahat ng kung saan ang mga kredensyal sa pag-login sa banking ay maaaring nakompromiso kung ang lamat na ito ay pinagsamantalahan.

"Seryoso ito, ang mga gumagamit ay nagtitiwala na ang mga bangko ay maaaring gumawa ng kanilang seguridad sa operasyon," ang sabi ni Chris McMahon Stone, isang kompyuter ng PhD sa seguridad ng computer sa University of Birmingham, Kabaligtaran. "Ang pagkukulang na ito ngayon ay naayos na, inihayag namin ito sa lahat ng mga bangko na kasangkot. Ngunit kung alam ng isang magsasalakay ang tungkol sa kahinaan na ito at sinasabi ng gumagamit na nagpapatakbo ng isang lipas na sa panahon na app, pagkatapos ay ito ay medyo walang halaga upang pagsamantalahan. Ang tanging pangangailangan ay ang mang-aatake ay kailangang nasa parehong network bilang kanilang biktima, kaya tulad ng pampublikong network ng WiFi.

Narito ang listahan ng mga apektadong apps, bawat papel.

Ang TLS connection ay dapat na matiyak na kapag nag-type ka sa iyong impormasyon sa pag-login sa bangko, ipapadala mo lamang ito sa iyong bangko at walang ibang tao. Ang pag-iingat sa seguridad na ito ay isang dalawang hakbang na proseso.

Nagsisimula ito sa mga bangko o iba pang mga entity na nagpapadala sa isang cryptographically sign na sertipiko, na nagpapatunay na sila talaga ang kanilang inaangkin. Ang mga lagda ay ibinigay ng mga awtoridad ng sertipiko, na pinagkakatiwalaang mga ikatlong partido sa prosesong ito.

Sa sandaling ipinadala ang sertipiko na ito - at tinitiyak ng app na ito ay legit - dapat na ma-verify ang hostname ng server. Ito ay simpleng pagsuri lamang sa pangalan ng server na sinusubukan mong kumonekta upang matiyak na hindi ka nagtatatag ng isang koneksyon sa sinumang iba pa.

Ito ang ikalawang hakbang na ito kung saan bumagsak ang mga bangko sa bola.

"Ang ilan sa mga apps na natuklasan namin ay sinusuri na ang sertipiko ay na-sign nang tama, ngunit hindi nila sinuri ang maayos na hostname," sabi ng Stone. "Kaya inaasahan nila ang anumang wastong sertipiko para sa anumang server."

Ito ay nangangahulugan na ang isang magsasalakay ay maaaring mag-spoof ng isang sertipiko at i-mount ang isang tao-sa-gitna atake. Kung saan ang tagasalakay ay nagho-host ng koneksyon sa pagitan ng bangko at ng gumagamit. Ito ay magbibigay sa kanila ng access sa lahat ang impormasyong ipinadala sa panahon ng koneksyon na iyon.

Habang nabigo ang lamat na ito, kung gagamit ka ng alinman sa mga apps na nakalista sa itaas mo dapat siguraduhin na ang iyong app ay na-update upang makuha ang pag-aayos. Mahigpit ding hinihimok ng Stone ang mga tao na gawin ang kanilang mobile banking sa bahay, isa sa kanilang sariling network upang maiwasan ang anumang mga posibilidad ng isang tao-sa-gitna atake.

Manatiling ligtas sa web, mga kaibigan.

$config[ads_kvadrat] not found