移动银行应用程序不安全地保存数据
对大量移动银行应用程序的研究揭示了令人担忧的安全漏洞,可能为网络犯罪分子访问高度敏感的财务数据铺平道路。金融部门为移动银行应用程序设计安全性的方法中的系统性问题已经留下了明显的漏洞,从弱加密标准到数据泄漏。
代表Arxan Technologies的研究人员强调了来自欧洲和美国各种金融机构的30个Android应用程序中发现的11种漏洞,共发现了180个关键漏洞。这些如果被攻击者利用,可能导致身份盗用,帐户欺诈等可怕后果。
“当一家公司未能为其应用程序实施适当的应用程序安全技术时,它会使应用程序易于进行逆向工程,可能导致帐户接管,数据泄露和欺诈,”研究员Alissa Valentina Knight说。
“因此,该公司可能会遭受重大财务损失,并对品牌,客户忠诚度,股东信心以及政府处罚造成损害。
“虽然本报告中的调查结果仅针对这些公司,但其中许多公司在测试的所有移动应用程序中都是系统性的,而其他类型的公司应该将它们作为保护其移动应用程序的指南。”
检测到漏洞的银行应用程序的名称已被编辑,可能是因为担心这些公司随后将成为恶意行为者的目标。
零售银行应用程序被发现拥有最多的关键漏洞,而美国的健康储蓄账户(HSA)公司是最不可利用的。此外,令研究人员惊讶的是,较小的公司拥有最安全的开发卫生,而较大的公司则生产最易受攻击的应用程序。
最常见的漏洞类型是缺乏二进制保护,97%的测试应用程序可以反编译和查看源代码。此外,所有测试的应用程序都无法实现应用程序安全性来混淆源代码。
与此同时,90%的测试应用程序都在进行意外的数据泄露,而移动银行应用程序的数据无意中可供用户设备上的其他应用程序使用。例如,这可能导致攻击通过他们在设备上控制的其他应用程序来收集财务数据。
此外,80%的应用程序实施了弱加密算法或强密码的错误实现。通过利用这一点,攻击者可以将敏感数据解密为其原始形式,并对其进行操纵或出售。
然而,最令人担忧的发现是,83%的应用程序首先测试存储用户的敏感数据不安全。根据奈特的说法,财务数据存储在沙箱之外,存储在设备的本地文件系统,外部存储器中,甚至复制到剪贴板中。
为了解决这些问题,她建议金融公司采用全面的安全方法,并采用多种技术,如应用程序屏蔽,加密和威胁分析。