Leszerepeltek a tőzsdés appok

​Nem muzsikáltak fényesen a legnépszerűbb tőzsdei mobil alkalmazások a biztonsági teszteken. Van még mit tenniük a fejlesztőknek.
 

Az IOActive biztonsági cég kutatói, köztük Alejandro Hernández szakértő a legutóbbi vizsgálatok során annak jártak utána, hogy a sok érzékeny adatot kezelő, amerikai tőzsdei alkalmazások miként állják a sarat napjaink fenyegetettségeivel szemben. Sajnos a tesztek azt támasztották alá, hogy jó néhány app sok sebből vérzik. Ráadásul meglehetősen alapvető biztonsági hiányoságokra is fény derült, amik tovább rontják az összképet.
 
A szakemberek a teszteket egy nem jailbreakelt iPhone 6 (iOS 10.3.3) készüléken, valamint egy rootolt és emulált Android 7.1.1 operációs rendszeren végezték el tizenkilenc app bevonásával. Egyet azonban nem voltak hajlandók elárulni. Mégpedig azt, hogy a vizsgálatokba mely alkalmazásokat vonták be. Mindössze annyit közöltek, hogy a legbiztonságosabb app egy olyan brókercéghez kötődik, amelynél néhány évvel ezelőtt súlyos biztonsági incidens történt. Vagyis erről a meg nem nevezett vállalatról elmondható, hogy tanult a korábbi történésekből, és valóban adott a biztonságra a mobil platformokon is.
 
A tesztelt szoftverek 19 százalékának esetében kimutatható volt, hogy a felhasználó által megadott jelszavakat sima, szöveges formátumban tárolták a mobilokon. Az alkalmazások kétharmada pedig olyan naplófájlokat generált, amelyekbe titkosítatlanul bizalmas információk is belekerültek. Az IOActive kifejtette, hogy olyan programokról van szó, amelyek alkalmasak tőzsdei ügyletek lebonyolítására, árfolyamfigyelésre és -riasztásra, banki tranzakciók végrehajtására stb. Vagyis nem megengedhető, hogy ezek a szoftverek titkosítatlanul tárolják a felhasználók adatait.


Forrás: IOActive 
 
Sajnos nemcsak az adattárolással volt probléma. Kettő alkalmazás nemes egyszerűséggel sima HTTP kapcsolaton keresztül kommunikált a szerverrel. Ugyanakkor a maradék appok sem voltak mentesek a kommunikációs problémáktól: tizenhárom szoftver nem megfelelően implementálta a HTTPS-t, így azok ellen közbeékelődéses (MitM - Man-in-the-Middle) támadások voltak indíthatók. További kockázatként merültek fel olyan tényezők, mint például a rootolt készülékek problémás detektálása, a kódokba égetett titkosító kulcsok és jelszavak stb.
 
A fentiek önmagukban is elég aggasztóak, azonban a kegyelemdöfést az adta meg, hogy az IOActive által felkeresett vállalatok közül mindössze kettő jelzett vissza a biztonsági kutatók által feltárt hibákkal kapcsolatban. A többi cég még csak válaszra sem méltatta a hibabejelentéseket.
 
  1. 3

    A Cisco IOS XE-hez több patch vált elérhetővé.

  2. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  3. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  4. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  5. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  6. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  7. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  8. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  9. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  10. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség