Leszerepeltek a tőzsdés appok

​Nem muzsikáltak fényesen a legnépszerűbb tőzsdei mobil alkalmazások a biztonsági teszteken. Van még mit tenniük a fejlesztőknek.
 
hirdetés
Az IOActive biztonsági cég kutatói, köztük Alejandro Hernández szakértő a legutóbbi vizsgálatok során annak jártak utána, hogy a sok érzékeny adatot kezelő, amerikai tőzsdei alkalmazások miként állják a sarat napjaink fenyegetettségeivel szemben. Sajnos a tesztek azt támasztották alá, hogy jó néhány app sok sebből vérzik. Ráadásul meglehetősen alapvető biztonsági hiányoságokra is fény derült, amik tovább rontják az összképet.
 
A szakemberek a teszteket egy nem jailbreakelt iPhone 6 (iOS 10.3.3) készüléken, valamint egy rootolt és emulált Android 7.1.1 operációs rendszeren végezték el tizenkilenc app bevonásával. Egyet azonban nem voltak hajlandók elárulni. Mégpedig azt, hogy a vizsgálatokba mely alkalmazásokat vonták be. Mindössze annyit közöltek, hogy a legbiztonságosabb app egy olyan brókercéghez kötődik, amelynél néhány évvel ezelőtt súlyos biztonsági incidens történt. Vagyis erről a meg nem nevezett vállalatról elmondható, hogy tanult a korábbi történésekből, és valóban adott a biztonságra a mobil platformokon is.
 
A tesztelt szoftverek 19 százalékának esetében kimutatható volt, hogy a felhasználó által megadott jelszavakat sima, szöveges formátumban tárolták a mobilokon. Az alkalmazások kétharmada pedig olyan naplófájlokat generált, amelyekbe titkosítatlanul bizalmas információk is belekerültek. Az IOActive kifejtette, hogy olyan programokról van szó, amelyek alkalmasak tőzsdei ügyletek lebonyolítására, árfolyamfigyelésre és -riasztásra, banki tranzakciók végrehajtására stb. Vagyis nem megengedhető, hogy ezek a szoftverek titkosítatlanul tárolják a felhasználók adatait.


Forrás: IOActive 
 
Sajnos nemcsak az adattárolással volt probléma. Kettő alkalmazás nemes egyszerűséggel sima HTTP kapcsolaton keresztül kommunikált a szerverrel. Ugyanakkor a maradék appok sem voltak mentesek a kommunikációs problémáktól: tizenhárom szoftver nem megfelelően implementálta a HTTPS-t, így azok ellen közbeékelődéses (MitM - Man-in-the-Middle) támadások voltak indíthatók. További kockázatként merültek fel olyan tényezők, mint például a rootolt készülékek problémás detektálása, a kódokba égetett titkosító kulcsok és jelszavak stb.
 
A fentiek önmagukban is elég aggasztóak, azonban a kegyelemdöfést az adta meg, hogy az IOActive által felkeresett vállalatok közül mindössze kettő jelzett vissza a biztonsági kutatók által feltárt hibákkal kapcsolatban. A többi cég még csak válaszra sem méltatta a hibabejelentéseket.
Vélemények
 
  1. 3

    A phpMyAdmin két sebezhetőséget tartalmaz.

  2. 3

    A Dropbox Android kompatibilis mobil alkalmazását két sérülékenység sújtja.

  3. 1

    A Danabot trójai túlzottan nagy érdeklődéssel figyeli a levelező- és FTP-szoftvereket, hogy aztán azokból hitelesítő adatokat kaparintson meg.

 
Partnerhírek
Foci-vb: hamis nyereményjátékok és mezek

Az ESET szakemberei felhívták a figyelmet arra, hogy a szurkolók mellett a csalók is készen állnak az oroszországi labdarúgó-világbajnokságra, és óvatosságra intették a felhasználókat.

​Virtuális asszisztens vagy beépített ügynök?

A reklámvideók szerint a virtuális asszisztensek jelentősen megkönnyítik a mindennapjainkat. De mint minden technológiai termék esetében, a biztonságra itt is figyelnünk kell.

hirdetés
Közösség
1