移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 移动安全 >

新年警戒:大都手机银行App存安然隐患

时间:2014-01-02 11:41来源:TuZhiJiaMi企业信息安全专家 点击:
Praetorian的安然专家本月测试了275个苹果iOS和Android手机银行利用法度,这些利用法度来自50家个首要金融机构、50家大年夜型区域性银行和50家大年夜型美国诺言合作社。成果发现,80%的利用法度
Tags移动安全(560)APP(19)手机银行(5)安全隐患(96)  

  Praetorian的安然专家本月测试了275个苹果iOS和Android手机银行利用法度,这些利用法度来自50家个首要金融机构、50家大年夜型区域性银行和50家大年夜型美国诺言合作社。成果发现,80%的利用法度建设不当,没有益用最好软件做法来构建。这些被测试的驰名银行包含:美国银行、花旗银行、富国银行、高盛、摩根士丹利、第一本钱金融和太阳信任银行。Praetorian并没有流露每个银行的利用法度在测试中的表示。

新年警戒:大都手机银行App存安然隐患

  今朝,手机银行已开端起飞,虽然速度比较迟缓。约35%的美国人在利用手机银行,这比2012年增加了11%。NSS尝试室的最新陈述中,一些银行陈述显示手机银行每年增加70%。

  Praetorian公司初创人兼首席履行官Nathan Sportsman暗示,手机银行利用法度中的安然缝隙其实不是纯粹的软件缝隙,所以它们是风险相对较低的标题问题,但这些标题问题终很可能导致受报复打击。

  Sportsman 暗示:“这些都不是营业逻辑性或针对利用法度的标题问题,而是全部移动利用法度的标题问题,这些是开辟人员应当解决而没有解决的标题问题,这些利用法度可以经由过程苹果和谷歌的利用商铺下载。”

  研究人员测试的缝隙是软件中驰名的减缓功能,测试是在每个本地设备的移动利用法度上履行,而不是在后端web办事器和办事。Sportsman暗示,这个测试只是全部手机银行报复打击环境的一个剪影,因为75%到90%的手机银行产生在后端。

  他暗示:“这不是侵进性测试,我们没有寻觅SQL注进,需要权限来做到这一点,所以我们很是向看看这些移动利用法度的建设。”他希看下次测试信息是若何存储在本地设备上的。

  Praetorian利用其新的移动利用安然测试平台Project Neptune履行了此次测试。在第一次测试中发现:良多基于iOS的手机银行利用法度没有启用主动援引计数(ARC)--内存治理功能;位置无关可履行文件—避免缓冲区溢出;和仓库呵护功能—呵护利用法度不会呈现“仓库破裂”。

  Sportsman称:“仓库破裂和ASLR(地址空间布局随机化)已存在很长一段时候,这些利用法度中应当启用这类呵护。”

  良多基于Android的手机银行利用法度被发现是针对老版本的Android软件开辟东西包,贫乏权限硬化,并启用了调试功能。对开辟者而言,老版本SDK靶向和调试功能将是最大年夜的担忧标题问题。

  不希罕的是,大年夜型金融机构比诺言社或区域性银行表示更好,但辨别也不较着:诺言社利用法度有108个建设缝隙;区域性银行动97个,而大年夜型金融机构为75。

  为甚么这些利用法度存在建设标题问题?整体而言,在金融办事行业,手机银行面对着“急于进进市场”的压力,这可能导致呈现一些缝隙。并且,地区银行和诺言社常常会外包这类利用开辟工作。

  与此同时,NSS尝试室的Ken Baylor指出,良多手机银行利用法度大年夜大都具有根基的安然性。“大年夜大都银行开端供给简单重定向到移动网站(功能有限)的移动办事,经由过程检测智妙手机HTTP表头。其他银行则成立了具有更好HTML包装器的移动利用法度,供给更好的用户体验和更多功能。到今朝为止,只有少数银行动每个平台构建了安然的本机利用法度。”

  良多移出手机利用法度是基于简化的HTML代码,这使它们等闲遭到报复打击,这应当促使更多银行动手机开辟本机利用法度,增加安然功能,例如加密和地舆定位。

------分隔线----------------------------

推荐内容