滙豐銀行等數個主流銀行APP存在漏洞，可被中間人攻擊

最近一個安全研究團隊發現了銀行應用程序中的漏洞，該漏洞可導致數百萬銀行用戶的用戶憑證受到黑客的攻擊。這個漏洞是伯明翰大學安全隱私安全部門的研究人員發現的。研究中，他們測試了iOS和Android上的數百種不同的銀行應用程序，發現了這一共性問題。

受影響的銀行包括滙豐銀行、NatWest、 Co-op、桑坦德銀行和愛爾蘭聯合銀行。目前，這些銀行已經在研究人員報告這個問題後就及時的進行了更新。

根據研究人員發表的研究論文，應用程序之所以容易受到攻擊可能是因為其允許與受害者連接到同一網路的攻擊者攔截SSL連接，並檢索用戶的銀行憑證，如用戶名和密碼/ PIN碼，即使該應用程序正在使用SSL pinning 功能。

SSL pinning 是一項安全功能，可以通過在主機和設備之間啟用額外的信任層來防止中間人（MITM）攻擊。

實施時，SSL pinning 有助於對抗基於網路的攻擊，因為攻擊者可能會嘗試使用那些不正規的認證機構頒發的有效證書。

研究人員在論文中寫道：

如果是一個單一的CA惡意行為或之前已經發生的泄密行為，就可能會生成任何域的有效證書，從而使攻擊者信任該CA證書的所有應用。但是，驗證SSL連接有兩個關鍵部分 – 第一個（驗證）是驗證證書是否來自受信任的機構頒發，第二個（授權）是要確保您連接的伺服器提供正確的授權證書。

研究人員發現，由於缺乏主機名驗證，以致於一些銀行應用程序沒有檢查他們是否連接到可信來源。驗證主機名可確保銀行應用程序連接到URL中的主機名與伺服器(作為SSL連接一部分）發回的數字證書中的主機名匹配。

TLS錯誤漏洞是很常見的，但是現有的框架都沒有檢測到客戶端引用了根證書或中間證書，而且也沒有檢測到葉證書中的主機名。除此之外，研究人員還詳細描述了桑坦德銀行和聯合愛爾蘭銀行的「 應用程序內釣魚攻擊 」，這些攻擊允許攻擊者在應用程序運行時劫持部分受害者的屏幕，並用它來釣魚受害者的登錄憑據。

為了快速在數百個應用程序中檢測到這個漏洞，並且不需要購買證書，研究人員創建了一個名為Spinner的新的自動化工具。Spinner利用Censys IoT搜索引擎來查找在不同的備用主機上的證書鏈。研究人員解釋說；「鑒於是目標域證書，所以該工具查詢僅限於不同備用主機的葉證書鏈，然後它會將流量從被測試的應用程序重定向到具有由相同CA證書的網站，毋容置疑這當然是不同的主機名（Common Name）。如果建立階段連接失敗了，那麼我們就會知道應用程序檢測到了錯誤的主機名，而如果連接建立並且客戶機在連接失敗之前傳輸加密的應用程序數據，那麼我們就會知道應用程序已經接受了主機名。

克里斯·麥克馬洪·斯通（Chris McMahon Stone），Tom Chothia和弗拉維奧·D·加西亞（Flavio D. Garcia）目前已經與國家網路安全中心（NCSC）進行了合作，並已經通知了所有受影響的銀行，銀行在他們公開研究成果之前就已經解決了這些問題。

本文翻譯自：https://thehackernews.com/2017/12/mitm-ssl-pinning-hostname.html，如若轉載，請註明原文地址： http://www.4hou.com/info/news/9175.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：