- Katılım
- 27 Temmuz 2011
- Mesajlar
- 60
- Reaction score
- 0
Birmingham Üniversitesi’nden araştırmacılar, cep telefonu uygulamalarının yarı otomatik güvenlik testlerini gerçekleştirmek için bir araç geliştirdiler. Aracı 400 adet güvenlikle alakalı kritik uygulama örneği üzerinde çalıştırdıktan sonra HSBC, NatWest, Co-op ve Bank of America Health uygulamalarından oluşan kritik güvenlik açığını bankacılık uygulamalarında saptayabildik.
Bu güvenlik açığı, “Orta Atakta Adam” olarak adlandırılan ve kullanıcı isimi ve şifre / pin kodu gibi kullanıcı kimlik bilgilerini almak için kurbanla aynı ağa (örn. Public WiFi veya müessesesel) bağlı bir saldırgana müsaade etti. .
Araştırmacılar, bankaların uygulamalarının güvenliğini sağlamak için çok gayret sarfettiklerini, ancak “sertifika sabitleme” olarak adlandırılan ve normalde güvenliği artıran belirli bir teknolojinin kullanıldığını saptadı; bu, standart testlerin ciddi bir güvenlik açığı saptayamadığı mananına geliyordu Bu, saldırganların bir kurbanın çevrimiçi bankacılığını kontrol etmesine kapı aralayabilir.
Testler, dünyanın en büyük bankalarının bazılarının kullandığı bu kusurun bulunduğu keşfetti. Bu kusur, saldırıya uğradığında bir uygulayıcıdan gelen kullanıcıların ağ trafiğini çözme, görüntüleme ve değiştirme imkanı tanıdı. Bu yeteneğe sahip bir saldırgan, normalde uygulamada olası olan rastgele bir işlemi gerçekleştirebilir.
Santander ve Bağlaşık İrlanda bankasına karşı “uygulama içi phishing saldırıları” da dahil olmak üzere diğer saldırılar da bulundu. Bu saldırılar, bir saldırganın uygulama çalışırken ekranın bir bölümünü ele geçirmesine ve mağdurun seans açma kimlik bilgileri için phish yapmak için kullanmasına müsaade edebilirdi.
Araştırmacılar, tüm güvenlik açıklarını gidermek için alakalı bankalar ve Birleşik Kraliyet hükümetinin Milli Siber Güvenlik Merkezi ile beraber çalıştı ve bu kilitleme açığından etkilenen tüm uygulamaların geçerli sürümleri artık güvenli.
Araştırmacılar, bankacılık uygulamalarının tüm kullanıcılarının uygulamanın her vakit en yeni sürümünü kullandıklarından ve sunulduktan sonra her zaman yeni sürüme geçirmeler yapmalarını sağlamalarını öneriyor.
Araştırma Birmingham Üniversitesi’nde Güvenlik ve Saklılık Grubu azası olan Dr. Tom Chothia, Dr Flavio Garcia ve PhD adayı Chris McMahon Stone tarafından gerçekleştirildi.
Dr Tom Chothia, “Genel olarak incelediğimiz uygulamaların güvenliği çok iyi, bulduğumuz güvenlik açıklarının saptaması zor ve sadece geliştirdiğimiz yeni araç sebebiyle çok zayıf istikamet bulabildik” diye konuştu. bu güvenlik açıklarının istifade edip etmediğini söyle, ancak saldırganlar saldırıya uğramış bir ağa bağlı herhangi birinin bankacılık uygulamasına ulaşabilirlerse “dedi.
Dr Flavio Garcia, “Sertifikasyon Pinning bir irtibat güvenliğini artırmak için iyi bir tekniktir, ancak bu vaziyette penetrasyon test2 edenler için uygun bir ana makine isimi doğrulamasının bulunmaması”
Chris McMahon Stone, “Bu kusurun normal çözümleme tekniklerinden tespit etmesi genel olarak zor olduğundan, yarı otomatikleştirilmiş ve kullanımı kolay bir idrak etme aracı geliştirdik.Bu, geliştiricilerin ve penetrasyon test2 eden kişilerin uygulamalarının bu saldırıya karşı güvenli olmasını sağlamasına yardımcı olacaktır” .”
Ocak ayında, Finansal Şifreleme ve Data Güvenliği Konferansı’nda sunulan “İngiltere’de Lider Bankacılık Uygulamalarında TLS’nin Güvenlik Tahlili” başlıklı yazıda bir takım sonuçlar verildi ve tam sonuçlar “Spinner: Semi-Automatic Detection” Hane Sahipliğini Doğrulama Olmayan Pinning “başlıklı yazısı Orlando’da yapılan 33. Senelik Bilgisayar Güvenlik Uygulamaları Konferansı’nda sunulmaktadır.
Bu güvenlik açığı, “Orta Atakta Adam” olarak adlandırılan ve kullanıcı isimi ve şifre / pin kodu gibi kullanıcı kimlik bilgilerini almak için kurbanla aynı ağa (örn. Public WiFi veya müessesesel) bağlı bir saldırgana müsaade etti. .
Araştırmacılar, bankaların uygulamalarının güvenliğini sağlamak için çok gayret sarfettiklerini, ancak “sertifika sabitleme” olarak adlandırılan ve normalde güvenliği artıran belirli bir teknolojinin kullanıldığını saptadı; bu, standart testlerin ciddi bir güvenlik açığı saptayamadığı mananına geliyordu Bu, saldırganların bir kurbanın çevrimiçi bankacılığını kontrol etmesine kapı aralayabilir.
Testler, dünyanın en büyük bankalarının bazılarının kullandığı bu kusurun bulunduğu keşfetti. Bu kusur, saldırıya uğradığında bir uygulayıcıdan gelen kullanıcıların ağ trafiğini çözme, görüntüleme ve değiştirme imkanı tanıdı. Bu yeteneğe sahip bir saldırgan, normalde uygulamada olası olan rastgele bir işlemi gerçekleştirebilir.
Santander ve Bağlaşık İrlanda bankasına karşı “uygulama içi phishing saldırıları” da dahil olmak üzere diğer saldırılar da bulundu. Bu saldırılar, bir saldırganın uygulama çalışırken ekranın bir bölümünü ele geçirmesine ve mağdurun seans açma kimlik bilgileri için phish yapmak için kullanmasına müsaade edebilirdi.
Araştırmacılar, tüm güvenlik açıklarını gidermek için alakalı bankalar ve Birleşik Kraliyet hükümetinin Milli Siber Güvenlik Merkezi ile beraber çalıştı ve bu kilitleme açığından etkilenen tüm uygulamaların geçerli sürümleri artık güvenli.
Araştırmacılar, bankacılık uygulamalarının tüm kullanıcılarının uygulamanın her vakit en yeni sürümünü kullandıklarından ve sunulduktan sonra her zaman yeni sürüme geçirmeler yapmalarını sağlamalarını öneriyor.
Araştırma Birmingham Üniversitesi’nde Güvenlik ve Saklılık Grubu azası olan Dr. Tom Chothia, Dr Flavio Garcia ve PhD adayı Chris McMahon Stone tarafından gerçekleştirildi.
Dr Tom Chothia, “Genel olarak incelediğimiz uygulamaların güvenliği çok iyi, bulduğumuz güvenlik açıklarının saptaması zor ve sadece geliştirdiğimiz yeni araç sebebiyle çok zayıf istikamet bulabildik” diye konuştu. bu güvenlik açıklarının istifade edip etmediğini söyle, ancak saldırganlar saldırıya uğramış bir ağa bağlı herhangi birinin bankacılık uygulamasına ulaşabilirlerse “dedi.
Dr Flavio Garcia, “Sertifikasyon Pinning bir irtibat güvenliğini artırmak için iyi bir tekniktir, ancak bu vaziyette penetrasyon test2 edenler için uygun bir ana makine isimi doğrulamasının bulunmaması”
Chris McMahon Stone, “Bu kusurun normal çözümleme tekniklerinden tespit etmesi genel olarak zor olduğundan, yarı otomatikleştirilmiş ve kullanımı kolay bir idrak etme aracı geliştirdik.Bu, geliştiricilerin ve penetrasyon test2 eden kişilerin uygulamalarının bu saldırıya karşı güvenli olmasını sağlamasına yardımcı olacaktır” .”
Ocak ayında, Finansal Şifreleme ve Data Güvenliği Konferansı’nda sunulan “İngiltere’de Lider Bankacılık Uygulamalarında TLS’nin Güvenlik Tahlili” başlıklı yazıda bir takım sonuçlar verildi ve tam sonuçlar “Spinner: Semi-Automatic Detection” Hane Sahipliğini Doğrulama Olmayan Pinning “başlıklı yazısı Orlando’da yapılan 33. Senelik Bilgisayar Güvenlik Uygulamaları Konferansı’nda sunulmaktadır.