知名银行App被曝漏洞，上千万用户面临密码盗窃风险

E安全12月9日讯 英国伯明翰大学研究人员年发布的报告显示，汇丰银行（HSBC）、Natwest和Co-op银行使用的App应用程序存在严重漏洞，允许黑客窃取用户名和密码。





9款App应用存在漏洞

研究人员开发了一款名为“Spinner”，能对App进行半自动化安全测试。研究人员利用Spinner对400款Android和iPhone应用程序进行了分析，结果发现9款应用存在一个重大漏洞，包括美国银行（Bank of America）和汇丰银行这两家大型银行的App。此外，国外相当热门的VPN应用程序TunnelBear也已遭受黑客入侵。这些存在漏洞的App现已被修复。

这些App的用户量共达到数千万，一旦被利用，黑客可连接到受害者的网络，例如工作场所或咖啡店的公共无线网络，以此执行中间人攻击获取用户名、密码和PIN码。

缺乏适当的证书主机名验证，再加上安全性要求较高的App逐渐使用 “证书锁定”（Certificate Pinning）技术，这样一来标准测试便无法检测到严重的漏洞，从而允许攻击者控制受害者的网上银行。研究人员指出，黑客可利用该漏洞解密、查看并修改网络流量。

专家发现桑坦德银行（Santander）和爱尔兰联合银行（Allied Irish）提供的App被发现“应用程序内网络钓鱼攻击”漏洞。这些漏洞会使攻击者在App运行时控制部分屏幕，并借此获取受害者的登录凭证。

涉“资金”的App应及时更新

美国银行通过电子邮件向英国媒体IBTimes UK发表声明指出，美国银行Health App中发现的漏洞两年之前就已解决。银行自2017年6月开始不再提供这款应用，客户信息未受到影响。

英国伯明翰大学的研究人员12月6日表示，已与英国国家网络安全中心（NCSC）解决修复漏洞，并确保将补丁推送给用户。受影响的银行已参与到修复过程当中，所有网上银行用户被敦促安装更新，未安装补丁的用户将会面临风险。

伯明翰大学的研究人员汤姆·乔西亚表示，总的来说，他们研究的App安全性很好，而发现的漏洞是难以检测的漏洞，或许只能被这款新工具检测到。研究人员无法判断这些漏洞是否被利用。