Leszerepeltek a tőzsdés appok

​Nem muzsikáltak fényesen a legnépszerűbb tőzsdei mobil alkalmazások a biztonsági teszteken. Van még mit tenniük a fejlesztőknek.
 
hirdetés
Az IOActive biztonsági cég kutatói, köztük Alejandro Hernández szakértő a legutóbbi vizsgálatok során annak jártak utána, hogy a sok érzékeny adatot kezelő, amerikai tőzsdei alkalmazások miként állják a sarat napjaink fenyegetettségeivel szemben. Sajnos a tesztek azt támasztották alá, hogy jó néhány app sok sebből vérzik. Ráadásul meglehetősen alapvető biztonsági hiányoságokra is fény derült, amik tovább rontják az összképet.
 
A szakemberek a teszteket egy nem jailbreakelt iPhone 6 (iOS 10.3.3) készüléken, valamint egy rootolt és emulált Android 7.1.1 operációs rendszeren végezték el tizenkilenc app bevonásával. Egyet azonban nem voltak hajlandók elárulni. Mégpedig azt, hogy a vizsgálatokba mely alkalmazásokat vonták be. Mindössze annyit közöltek, hogy a legbiztonságosabb app egy olyan brókercéghez kötődik, amelynél néhány évvel ezelőtt súlyos biztonsági incidens történt. Vagyis erről a meg nem nevezett vállalatról elmondható, hogy tanult a korábbi történésekből, és valóban adott a biztonságra a mobil platformokon is.
 
A tesztelt szoftverek 19 százalékának esetében kimutatható volt, hogy a felhasználó által megadott jelszavakat sima, szöveges formátumban tárolták a mobilokon. Az alkalmazások kétharmada pedig olyan naplófájlokat generált, amelyekbe titkosítatlanul bizalmas információk is belekerültek. Az IOActive kifejtette, hogy olyan programokról van szó, amelyek alkalmasak tőzsdei ügyletek lebonyolítására, árfolyamfigyelésre és -riasztásra, banki tranzakciók végrehajtására stb. Vagyis nem megengedhető, hogy ezek a szoftverek titkosítatlanul tárolják a felhasználók adatait.


Forrás: IOActive 
 
Sajnos nemcsak az adattárolással volt probléma. Kettő alkalmazás nemes egyszerűséggel sima HTTP kapcsolaton keresztül kommunikált a szerverrel. Ugyanakkor a maradék appok sem voltak mentesek a kommunikációs problémáktól: tizenhárom szoftver nem megfelelően implementálta a HTTPS-t, így azok ellen közbeékelődéses (MitM - Man-in-the-Middle) támadások voltak indíthatók. További kockázatként merültek fel olyan tényezők, mint például a rootolt készülékek problémás detektálása, a kódokba égetett titkosító kulcsok és jelszavak stb.
 
A fentiek önmagukban is elég aggasztóak, azonban a kegyelemdöfést az adta meg, hogy az IOActive által felkeresett vállalatok közül mindössze kettő jelzett vissza a biztonsági kutatók által feltárt hibákkal kapcsolatban. A többi cég még csak válaszra sem méltatta a hibabejelentéseket.
Vélemények
 
  1. 4

    A támogatással rendelkező Windows operációs rendszerekben javítható a WPA/WPA2 sebezhetőség.

  2. 4

    Az ArubaOS fejlesztői elkészítették a WPA/WPA2 kapcsán felmerült sebezhetőségek javításait.

  3. 4

    A Juniper több terméke esetében is befoltozta a WPA/WPA2-vel összefüggő sérülékenységeket.

 
Partnerhírek
Európai kiberbiztonsági hónap

Az Európai Hálózatbiztonsági Ügynökség (ENISA) által immár 5. alkalommal szervezett októberi kampány célja a kiberfenyegetések részletes bemutatása és a biztonságtudatosság növelése.

Gyorsan változnak az adathalász weboldalak

Változtattak támadási technikájukon az adathalász hackerek: ahelyett, hogy egy adott weboldalra tereljék a felhasználókat, pár óránként változtatják a webcímeket, hogy ne lehessen letiltani őket.

hirdetés
Közösség
1