研究員對金融APP逆向測試 被測樣本中83%存在泄露敏感數(shù)據(jù)漏洞
責編:gltian |2019-04-04 16:17:37白帽黑客利用逆向工程對金融應用程序進行測試,并找到了許多安全問題,其中83%的應用程序存在不安全的存儲問題。并?發(fā)現(xiàn)隱藏在應用程序底層代碼中的敏感數(shù)據(jù)。研究人員表示,利用這些信息,黑客可以恢復應用程序編程接口(API)密鑰并使用它們來攻擊供應商的后端服務器。
Aite Group的高級網(wǎng)絡安全分析師Alissa Knight說:
許多調(diào)查結(jié)果令人震驚,我甚至發(fā)現(xiàn)一些金融機構(gòu)正在硬編碼私鑰,API密鑰和私有證書 – 所有這些都在實際代碼中或存儲在應用程序的子目錄中。”在其他情況下,Knight說,她發(fā)現(xiàn)應用程序使用的URL與之通信,這將允許對手也可以定位后端服務器的API。
主要調(diào)查結(jié)果包括所有測試的Android應用程序中有97%缺乏二進制代碼保護。?“這使得逆向工程或反編譯應用成為可能;?根據(jù)計劃于周二發(fā)布的報告,將源代碼暴露給分析和篡改。
83%被測程序有漏洞
“如果應用程序開發(fā)人員實現(xiàn)了應用程序屏蔽和其他安全性,例如應用程序綁定,重新打包檢測和篡改檢測,靜態(tài)數(shù)據(jù)加密和密鑰保護,那么找到這些漏洞幾乎是不可能的。”
逆向工程軟件長期以來一直是黑帽和黑帽黑客使用的技術(shù)。?上個月在舊金山舉行的RSA會議上,美國國家安全局發(fā)布了其Ghidra逆向工程平臺。
對于白帽子,像Ghidra這樣的工具扮演著至關(guān)重要的角色,幫助他們對惡意軟件進行逆向工程,幫助他們了解惡意軟件是如何工作的,它做了什么,并揭示了誰寫了它或者它來自哪里的線索。?黑帽子可以從代碼中收集類似的數(shù)據(jù),并將其用作攻擊的黑客跳板。
Knight表示,她對30個樣本應用程序的逆向工程工作表明,83%的應用程序在應用程序控件之外測試了不安全的存儲數(shù)據(jù)。另外,70%的應用程序使用不安全的隨機數(shù)生成器?。
參考鏈接:https://threatpost.com/financial-apps-are-ripe-for-exploit-via-reverse-engineering/143348/
原文鏈接:http://toutiao.secjia.com/article/page?topid=111361
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!