安全专家Ariel Sanchez日前提供了一项报告,将40个ios系统上的银行应用程序的测试结果与两年前的结果进行了比对。
银行业对移动平台的兴趣与日俱增,金融机构在移动设备上提供的服务也越来越多,但是它们的安全性如何呢?
近几年来,手机银行应用的安全性已经有了不小的提升,但是仍有很大的发展空间。
IOActive公司的安全顾问Ariel Sanchez,在2年前就对ios系统上的银行应用做了测试,如今,他打算再做一遍。Sanchez评估了40项银行程序的安全等级,发现了许多安全隐患。而且他只对客户端做了调查,还没有对服务器进行调查。
由于一些原因,他没有透露存在漏洞的应用程序的名字,也没有透露是谁开发的。
那么,这些应用程序都发生了哪些变化呢?
通过第二次的测试,Sanchez发现,一些2年前就存在的问题现在仍然没有解决,虽然整体安全性有了提高。他在每个应用程序上都执行了如下测试:
1. 安全传输
1. 明文通信
2. 不当的会话处理
3. 正确验证SSL证书
2. 编译器保护
1. 反越狱保护
2. 编译PIE
3. 编译记忆区的文件
3. UIWebViews
1. 数据验证(输入、输出)
2. UIWebViews实现
4. 不安全的数据存储
1. SQL lite数据库
2. 文件缓存
3. 属性列表文件
4. 日志文件
5. 日志文件
1. 自定义日志
2. NSLog语句
3. 故障报告文件
6. 二进制的分析
1. 分解应用程序
2. 检测模糊处理的代码保护集
3. 检测防篡改保护
4. 检测放调试保护
5. 协议处理程序
6. 客户端植入
7. 第三方库
他发现了5款应用(占总数的12.5%)不能有效认证提供的SSL证书,这可能会使用户遭到中间人攻击。
35%的应用程序不包含SSL连接,黑客可以通过这个漏洞截获传送的信息,而且也可以通过植入JavaScript/HTML代码创造一个假的登录链接。
30%的被测试应用程序无法验证植入的数据,在这种情况下,黑客可能会在用户不知情的情况下植入JavaScript。但是这个比例较2013年相比已经有所下降。
40%的应用程序会泄露用户的信息。
Sanchez说“35%的应用程序不包含SSL链接,这就使得黑客可以截获信息,植入JavaScript代码,创造出一个虚假的登录链接或类似骗局。”
他还通过分析二进制和文件系统,发现15%的银行程序不能加密文件和敏感信息。在一些情况下,客户的银行账户和访问记录会存储在sqlite数据库中,或者以纯文本形式储存,
下边两张表对比了2013年和2015年的测试结果。
大多数应用程序在传输保护以及验证SSL证书方面有了提升,大大减少了受到中间人攻击的可能性。但需要指出的是,仍有许多应用程序的文件系统中存有不安全的数据。
根据Sandez的试验可以得出,尽管银行程序的安全性已经有了提高,但仍有不足,许多软件还存在着漏洞。
Sandez补充道“虽然所有软件的安全性在两年间都有了提升,但这还远远不够,许多程序仍旧有漏洞。”
文章原文链接:https://www.anquanke.com/post/id/83161