Mobilappanvändare kan börja känna sig lite säkrare i framtiden. Ett team från University of Birmingham har utvecklat ett verktyg för att utföra halvautomatisk säkerhetstest av dessa appar.

I synnerhet kan verktyget identifiera kritiska sårbarheter i bankapps - forskarna identifierade problem i HSBC, NatWest och Co-op-bankapparna.

Detta möjliggjorde attacker, som var anslutna till samma nätverk som offren (t.ex. på en offentlig WiFi eller företag) för att utföra en så kallad “Mannen i Middle Attack” och hämta referenser som användarnamn och lösenord / PIN-koder.

Trots att bankerna hade utgjort en stor insats för att upprätthålla en sträng säkerhet, visade sig en teknik som kallades certifikatpinnning vara sårbar. Birmingham-testerna visade att appar från stora globala banker innehöll denna fel som, om den utnyttjades, skulle kunna ha gjort det möjligt för en angripare att dekryptera, visa och modifiera nätverkstrafik från användare av appen. En angripare med denna förmåga kan därmed utföra någon operation som normalt är möjlig på appen.

Detta var inte den enda sårbarheten som identifierades. Forskarna fann också phishing-attacker i appen mot Santander och den allierade irländska banken. Dessa skulle ha låt en angripare ta över en del av skärmen för att ge sig till offerets inloggningsuppgifter.

Åtgärda felet

Forskarna arbetade med de involverade bankerna och den brittiska regeringens nationella Cyber ​​Security Center för att åtgärda alla sårbarheter och nuvarande versioner av alla appar som påverkas av denna pinning sårbarhet är nu säkra.

Forskningen genomfördes av Dr Tom Chothia, Dr Flavio Garcia och doktorand Chris McMahon Stone, alla medlemmar i gruppen Security and Privacy vid University of Birmingham

Dr Tom Chothia sa, “I allmänhet var säkerheten hos de appar som vi undersökte väldigt bra, de sårbarheter som vi hittade var svåra att upptäcka, och vi kunde bara hitta så många svagheter på grund av det nya verktyget vi utvecklade” han lade till “Det är omöjligt att berätta om dessa sårbarheter utnyttjades, men om de var attacker kunde ha fått tillgång till bankappen för alla som var anslutna till ett kompromissat nätverk”.

  • Bästa mobiltelefonen erbjudanden i december