تیمی از محققین امنیتی دانشگاه بیرمنگام، یک آسیب پذیری بحرانی را در برنامه های بانکداری موبایل کشف کرده اند که می تواند اطلاعات حساب کاربری میلیونها کاربر این برنامه ها را در دسترس هکرها قرار دهد. این گروه با تست صدها برنامه کاربردی موبایلی از نوع اندروید و IOS، به این نتیجه رسیدند که تعدادی از این برنامه ها در مقابل حملات مردمیانی(MiTM) آسیب پذیر هستند.
این برنامه ها مانند HSBC, NatWest, Co-op, Santander به مهاجم امکان می دهند تا به شبکه قربانی متصل شده و ترافیک SSL را شنود نمایند و اطلاعات کاربری بانکی کاربران را به دست آورند حتی اگر برنامه از ویژگی امنیتی SSL Pinning استفاده کرده باشد. این قابلیت امنیتی با تعریف یک لایه اعتماد سازی اضافی بین تجهیزات جانبی و سرورها، از وقوع حملات MiTM پیشگیری می نماید.
این محققین دریافتند که به دلیل نبود قابلیت بررسی نام تجهیز، در صورتی که اتصال از یک منبع مجاز انجام شود، برخی از این برنامه های بانکداری این مورد را بررسی نمی کنند. بررسی نام تجهیز امکان می دهد تا با قرار گرفتن نام درون URL برنامه بانکداری، گواهینامه دیجیتال صادرشده از سوی سرور به عنوان بخشی از اتصال SSL با نام مربوطه مطابقت داشته باشد.
- منبع:
https://thehackernews.com/2017/12/mitm-ssl-pinning-hostname.html