GearBest

sábado, 19 de dezembro de 2015

Pesquisador diz que segurança de aplicativos bancário para iOS ainda não é bom o suficiente.

A segurança de aplicativos de mobile banking tem melhorado ao longo dos últimos dois anos, mas ainda há margem para melhorias.


Mobile Banking

Ariel Sanchez, consultor de segurança para IOActive, revisitou a investigação sobre o primeiro tópico realizado há dois anos para ver se houve alguma melhoria.

Embora a segurança tem aumentado ao longo dos dois anos, muitos aplicativos continuam a ser vulneráveis.

Como antes, a pesquisa abrangeu 40 aplicativos bancários móveis para iOS em uso ao redor do mundo. Sanchez limitou-se a procura de falhas de segurança ou vulnerabilidades do lado do cliente e não incluem qualquer teste do lado do servidor.

Sua metodologia de testes é explicada com mais detalhes em um blog aqui. O iOS não nomeara os aplicativos ou os bancos que lançaram os aplicativos que testamos.

Cinco dos 40 aplicativos auditadas não conseguiu validar a autenticidade dos certificados SSL apresentadas, o que os torna suscetíveis a ataques man-in-the-middle (MITM). E mais de um terço (35 por cento) dos aplicativos continham links não-SSL em todo o aplicativo. Esta lacuna permite que um invasor venha interceptar o tráfego e injetar código arbitrário / HTML JavaScript em uma tentativa de criar um prompt de login falso ou tentam aplicar golpes semelhantes.

Além disso 30 por cento deles não conseguiram validar os dados recebidos. deixando-os potencialmente vulnerável a injeções de JavaScript. Os resultados podem não aparecer impressionante, mas pelo menos eles são uma melhoria nos resultados de 2013.

O teste também cobre análise binário e sistema de arquivos. esta fase da auditoria revelou que 15 por cento das sensível informações da loja de aplicativos são não criptografados, tais como detalhes sobre clientes, contas bancárias e histórico de transações, no sistema de arquivos através de bancos de dados SQLite ou outros arquivos em texto puro.

"A maioria dos aplicativos têm aumentado a segurança do transporte dos dados, validando devidamente certificados SSL ou removendo o tráfego de texto simples", concluiu Sanchez. "Isso ajuda a reduzir o risco de os usuários serem expostos a ataques MITM."

"Embora os números estão abaixo de esperado, em geral, ainda há um grande número de aplicativos que armazenam dados inseguros em seu sistema de arquivos. Muitos deles ainda estão suscetíveis a ataques do lado do cliente ", acrescentou.

Sanchez acrescentou que alguns dos aplicativos fornecem soluções de autenticação alternativos, com mais confiar simplesmente no nome de usuário e senha para autenticação. Apenas 17 dos 40 (42,5 por cento) dos aplicativos tem fornecidos soluções de autenticação alternativas para mitigar o risco de vazamento de credenciais de usuário e ataques.