La falla de seguretat de 9 aplicacions bancàries pot tenir una informació sobre 10 milions d’usuaris

La majoria, si no totes, aplicacions sensibles a la seguretat utilitzen el que es coneix com a connexió TLS per crear un enllaç xifrat de forma segura entre els seus servidors i el telèfon. Això garanteix que quan feu, per exemple, que feu la vostra operació bancària al telèfon, en realitat esteu comunicant amb el vostre banc i no amb un servidor aleatori potencialment perillós.

Només hi ha un petit problema: d’acord amb un treball presentat dimecres a la conferència anual d’aplicacions de seguretat informàtica d’Orlando, investigadors de la Universitat de Birmingham han trobat nou aplicacions de banca populars que no han estat prenent les precaucions adequades per configurar la seva connexió TLS. Aquestes aplicacions tenen una base d’usuaris combinada de 10 milions de persones, totes les credencials d’inici de sessió de la seva banca podrien haver estat compromeses si s’explotava aquest error.

"Això és seriós, els usuaris confien que aquests bancs poden fer la seva seguretat operativa", explica Chris McMahon Stone, estudiant de doctorat en seguretat informàtica a la Universitat de Birmingham. Invers. "Aquest defecte és ara fixat, el vam divulgar a tots els bancs implicats. Però si un atacant coneixia aquesta vulnerabilitat i diria que un usuari està executant una aplicació obsoleta, seria bastant útil explotar-lo. L’únic requisit és que l’atacant necessiti estar a la mateixa xarxa que la seva víctima, per la qual cosa, com una xarxa WiFi pública.

Aquí hi ha la llista d’aplicacions afectades, per paper.

Se suposa que la connexió TLS garanteix que quan escriviu la informació d’inici de sessió del banc, només l’enviareu al vostre banc i ningú més. Aquesta precaució de seguretat és un procés en dos passos.

Comença amb bancs o altres entitats enviant un certificat signat criptogràficament, verificant que realment són qui diuen que són. Aquestes signatures les donen les autoritats certificadores, que són tercers de confiança en aquest procés.

Un cop enviat aquest certificat i l’aplicació s’assegura que és legítim, cal que verifiqueu el nom del servidor. Això només és comprovar el nom del servidor que intenteu connectar per assegurar-vos que no estigueu establint una connexió amb ningú més.

Aquest és el segon pas en què aquests bancs van deixar la pilota.

"Algunes d'aquestes aplicacions que descobrim comprovaven que el certificat estava signat correctament, però que no comprovaven correctament el nom de l’ordinador", diu Stone. "Per tant, podrien esperar qualsevol certificat vàlid per a qualsevol servidor".

Això vol dir que un atacant podria falsificar un certificat i muntar un atac home-a-mig. On l’atacant allotja la connexió entre el banc i l’usuari. Això els donaria accés tot la informació enviada durant aquesta connexió.

Tot i que aquest defecte ha estat rectificat, si utilitzeu qualsevol de les aplicacions que apareix a la llista superior haver de assegureu-vos que la vostra aplicació estigui actualitzada per obtenir la solució. Stone també demana a la gent que faci la seva banca mòbil a casa, una a la seva pròpia xarxa per evitar possibles possibles atacs amb un home al mig.

Estigues segur a la xarxa, amics.