Leszerepeltek a tőzsdés appok

​Nem muzsikáltak fényesen a legnépszerűbb tőzsdei mobil alkalmazások a biztonsági teszteken. Van még mit tenniük a fejlesztőknek.
 
hirdetés
Az IOActive biztonsági cég kutatói, köztük Alejandro Hernández szakértő a legutóbbi vizsgálatok során annak jártak utána, hogy a sok érzékeny adatot kezelő, amerikai tőzsdei alkalmazások miként állják a sarat napjaink fenyegetettségeivel szemben. Sajnos a tesztek azt támasztották alá, hogy jó néhány app sok sebből vérzik. Ráadásul meglehetősen alapvető biztonsági hiányoságokra is fény derült, amik tovább rontják az összképet.
 
A szakemberek a teszteket egy nem jailbreakelt iPhone 6 (iOS 10.3.3) készüléken, valamint egy rootolt és emulált Android 7.1.1 operációs rendszeren végezték el tizenkilenc app bevonásával. Egyet azonban nem voltak hajlandók elárulni. Mégpedig azt, hogy a vizsgálatokba mely alkalmazásokat vonták be. Mindössze annyit közöltek, hogy a legbiztonságosabb app egy olyan brókercéghez kötődik, amelynél néhány évvel ezelőtt súlyos biztonsági incidens történt. Vagyis erről a meg nem nevezett vállalatról elmondható, hogy tanult a korábbi történésekből, és valóban adott a biztonságra a mobil platformokon is.
 
A tesztelt szoftverek 19 százalékának esetében kimutatható volt, hogy a felhasználó által megadott jelszavakat sima, szöveges formátumban tárolták a mobilokon. Az alkalmazások kétharmada pedig olyan naplófájlokat generált, amelyekbe titkosítatlanul bizalmas információk is belekerültek. Az IOActive kifejtette, hogy olyan programokról van szó, amelyek alkalmasak tőzsdei ügyletek lebonyolítására, árfolyamfigyelésre és -riasztásra, banki tranzakciók végrehajtására stb. Vagyis nem megengedhető, hogy ezek a szoftverek titkosítatlanul tárolják a felhasználók adatait.


Forrás: IOActive 
 
Sajnos nemcsak az adattárolással volt probléma. Kettő alkalmazás nemes egyszerűséggel sima HTTP kapcsolaton keresztül kommunikált a szerverrel. Ugyanakkor a maradék appok sem voltak mentesek a kommunikációs problémáktól: tizenhárom szoftver nem megfelelően implementálta a HTTPS-t, így azok ellen közbeékelődéses (MitM - Man-in-the-Middle) támadások voltak indíthatók. További kockázatként merültek fel olyan tényezők, mint például a rootolt készülékek problémás detektálása, a kódokba égetett titkosító kulcsok és jelszavak stb.
 
A fentiek önmagukban is elég aggasztóak, azonban a kegyelemdöfést az adta meg, hogy az IOActive által felkeresett vállalatok közül mindössze kettő jelzett vissza a biztonsági kutatók által feltárt hibákkal kapcsolatban. A többi cég még csak válaszra sem méltatta a hibabejelentéseket.
Vélemények
 
  1. 3

    A Linux Kernel közepes veszélyességű hibája jogosulatlan rendszerhozzáférést tehet lehetővé.

  2. 1

    A ChaoPZ trójai elsősorban rendszerinformációkat lop, de azért a jelszavak sem kerülik el a figyelmét.

  3. 3

    A NetBSD fejlesztői két sebezhetőségről számoltak be.

 
Partnerhírek
G DATA vs. Tamás zsarolóvírusa

Kaptunk egy új zsarolóvírus mintát Tamástól, aki azt írta nekünk, hogy a VirusTotal szerint ezt az új kártevőt egy neves vírusirtó sem tudja megállítani.

Jól fizet a hibavadászat

A legjobban kereső etikus hackerek 2,7-szer jobban keresnek, mint a hazájukban dolgozó szoftverfejlesztő mérnökök – derült ki egy friss felmérésből.

hirdetés
Közösség
1