Agujeros de seguridad masivos de aplicaciones bancarias: es posible que desee volver a ese dinero bajo la táctica del colchón

Un nuevo informe de una consultora de pagos bien considerado encontró una larga lista de locura de seguridad mientras examinaba varias de las principales aplicaciones móviles de la compañía fintech. Aunque la naturaleza misma de las aplicaciones que administran y mueven dinero sugiere una seguridad presumiblemente fuerte, los bancos y sus cohortes tienden a adoptar nuevas tecnologías más lentas que casi cualquier otra vertical, lo que las coloca en un mal lugar en lo que respecta a la seguridad.

hallazgo favorito del informe de Aite Group: «Varias aplicaciones de banca móvil certificados y códigos de API privados en sus aplicaciones. [Thieves] podrían explotar esto copiando los certificados privados a sus computadoras y ejecutando cualquier número de programas gratuitos para descifrar contraseñas ellos «, señaló el informe. «Si el [attackers] craquea exitosamente la clave privada, podría descifrar toda la comunicación entre los servidores de back-end y los dispositivos móviles, entre otras cosas. Las claves de la API permiten que un adversario comience a atacar los servidores de la API [financial institution’s] , obteniendo acceso a los datos en las bases de datos de back-end. Esto permite a [attackers] autenticar el dispositivo con los servidores de back-end de esa aplicación, ya que esto es lo que las API utilizan para la autenticación y autorización «.

En otras palabras , estos bancos han facilitado mucho el trabajo de los atacantes. «Uno de los directorios en realidad se llamaba ‘Claves API'», dijo Alissa Knight, analista principal de la práctica de ciberseguridad de Aite Group que realizó la investigación para el informe. «Mi café ni siquiera se enfrió mientras estaba en esa lista» tratando de encontrar vulnerabilidades.

Algunos otros puntos especialmente temibles hechos en el informe de Aite:

  • «Muchas de las aplicaciones contenían sentencias de SQL rígidas que dio a los adversarios la capacidad de emplear ataques de inyección de SQL, como modificar una consulta de SQL existente o insertar una nueva consulta de SQL en un ataque de intermediario que les permite descargar todos los datos de la base de datos, eliminar datos o modifíquelo «.
  • » Noventa y siete por ciento de las aplicaciones probadas sufrieron de falta de protección binaria, lo que hace posible descompilar las aplicaciones y revisar el código fuente. Además, todas las aplicaciones FI probadas no implementaron la seguridad de la aplicación eso habría ofuscado el código fuente de las aplicaciones, haciendo posible su descompilación. Esto proporcionó todas las URL de API, las claves de API y los secretos de API confidenciales incorporados en las aplicaciones, y algunas de las URL incluyeron números de puerto no estándar y servidores de desarrollo utilizados por d Desarrolladores para pruebas y control de calidad, que estaban disponibles al momento de la prueba. Al descompilar los binarios, también fue posible descubrir varias claves privadas codificadas en sus archivos y ubicadas en los subdirectorios de la aplicación, lo que hace posible descifrar las contraseñas de las claves privadas sin conexión. «
  • » Hallazgos adicionales incluyen la capacidad de ejecutar código del lado del cliente en la aplicación webView; consultas de SQL sin procesar incrustadas en el código fuente, que proporcionan información sobre el esquema de la base de datos y la capacidad de realizar la inyección de SQL; la creación y el almacenamiento de datos confidenciales en archivos temporales en el dispositivo móvil o en la memoria del portapapeles; y claves públicas y privadas codificadas. Al descomponer el código binario en su código fuente en bruto, los adversarios pueden inyectar malware y volver a empaquetar la aplicación como una aplicación pirata / fraudulenta alojada en un mercado de aplicaciones de terceros, como TweakBox, Aptoide y TutuApp, o enviarlo a las víctimas a través de smishing (SMS phishing). Descompilar la aplicación también permite que un adversario comprenda cómo la aplicación detecta dispositivos móviles con jailbreak, que, una vez que se encuentran vulnerabilidades (como las claves API, las claves privadas y las credenciales) en el código fuente, dan como resultado el robo de dinero a través de troyanos bancarios, nombre de usuario / el robo de contraseñas o el control de cuentas mediante pantallas de superposición y el robo de datos confidenciales «.
  • » Alrededor del 80 por ciento de las aplicaciones probadas implementaron algoritmos de cifrado débil o la implementación incorrecta de un cifrado fuerte, lo que permite a los adversarios descifrar y manipular datos confidenciales. o robarlo según sea necesario «.
  • » Alrededor del 70 por ciento de las aplicaciones utilizan un generador de números aleatorios inseguro, una medida de seguridad que se basa en valores aleatorios para restringir el acceso a un recurso sensible, lo que hace que los valores sean fáciles de adivinar y hackear «.

En cuanto a las aplicaciones móviles que examinó, Knight dijo que muchos procedimientos eran simplemente descuidados. Cyberthieves ama descuidado. «Todo en la aplicación estaba siendo registrado y tenía un registro muy detallado. Una cantidad gratuita «, dijo Knight en una entrevista Computerworld .» Mucho no se estaba haciendo en cajas de arena y se almacenaba directamente en el dispositivo móvil «.

Aaron Lint es el científico principal y experto en investigación. El presidente de Arxan, que suscribió la investigación de Aite. «No es ningún secreto que la industria financiera es un objetivo candente porque la carga útil es fría y dura», dijo Lint. «Prácticamente ninguna de las aplicaciones probadas en esta investigación tenía medidas de seguridad en la aplicación. el lugar que podría incluso detectar una aplicación se estaba diseñando a la inversa, y mucho menos defenderse activamente de cualquier actividad maliciosa originada por la manipulación a nivel de código «.

Lint se refirió a la filtración de API como» un plan de cómo tratar la aplicación «.

Hacer que las claves de API sean tan fáciles de encontrar es ciertamente una cortesía que será muy apreciada en la web oscura, aunque probablemente no tanto por los clientes de la institución financiera. Dicho esto, esos clientes no podrán hacer nada al respecto, como como switchi ng bancos: debido a que Aite se negó a identificar a qué compañías consultaron.

Hicieron correos electrónicos Computerworld algunas descripciones de las compañías perfiladas – hubo 30 empresas examinadas en ocho categorías: aplicaciones de banca minorista (cuatro empresas examinadas) ); emisores de tarjetas de crédito (3); aplicaciones de pago móvil (3); aplicaciones de cuentas de ahorro para la salud (3); cuentas de corretaje minoristas (5); aseguradoras de salud (4); seguro de automóviles (4); y empresas de criptomoneda (4). Aite también dio a conocer cuántos se cotizaron públicamente (la mayoría lo hizo) y dio una pista sobre el tamaño de la compañía diciendo cuántos empleados tenía cada compañía (ese número oscilaba entre 250,000 empleados para una de las compañías de aplicaciones de banca minorista y 50 empleados para una de las compañías). Las compañías de la moneda criptográfica.

Aún más preocupante, dijo Aite, optó por no decirle a ninguna de las compañías examinadas que encontró grandes brechas de seguridad en sus sitios. Esto es lamentable, pero comprensible. Es un temor, que va desde el litigio a ser un obstáculo en la industria – que los evaluadores de bolígrafos tienen en estos días para examinar sitios o aplicaciones sin el permiso de la compañía. Dado que Aite tiene que trabajar con estas compañías, tiene sentido que no quiera señalar a estas compañías que tienen problemas .

En un mundo utópico, las empresas estarían encantadas de estar informadas sobre los problemas en su sitio / aplicación antes de que los ciberthieves los encontraran, pero no es así como funciona el mundo, especialmente en los EE. UU. Sugerencia para las empresas de FI: H Obtenga un comprobador de lápiz hoy mismo para ver su sitio y sus aplicaciones. Algunos de ustedes tienen problemas masivos.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*