據(jù)國(guó)外媒體報(bào)道，蘋果iPhone或iPad用戶請(qǐng)注意了，iOS版本手機(jī)銀行存在安全風(fēng)險(xiǎn)漏洞。研究機(jī)構(gòu)IOActive Labs研究人員阿里爾·桑切斯(Ariel Sanchez)對(duì)40款移動(dòng)銀行應(yīng)用進(jìn)行了測(cè)試，與這些應(yīng)用有關(guān)聯(lián)的銀行為全球最具影響力的60家銀行。

起初，桑切斯對(duì)在iOS銀行應(yīng)用中發(fā)現(xiàn)其中很多的銀行都未實(shí)施基本的安全保護(hù)措施，盡管在通知了這些易受攻擊漏洞之后情況依然未變。

桑切斯并未對(duì)發(fā)現(xiàn)的銀行應(yīng)用漏洞進(jìn)行詳細(xì)的研究，也未展示如何利用這些漏洞。他對(duì)40款iOS移動(dòng)銀行應(yīng)用的安全性進(jìn)行了40個(gè)小時(shí)的測(cè)試，所有的這些應(yīng)用都允許安裝在一款越獄的iOS設(shè)備上。對(duì)此，他建議iOS設(shè)備應(yīng)進(jìn)行防越獄保護(hù)。

接下來對(duì)每款應(yīng)用的客戶端進(jìn)行了測(cè)試：運(yùn)輸安全性、編譯器保護(hù)、UIWebViews、不安全數(shù)據(jù)存儲(chǔ)、記錄以及二進(jìn)制分析。在運(yùn)行測(cè)試中，包括驗(yàn)證是否會(huì)有敏感信息被發(fā)送至未經(jīng)加密的數(shù)據(jù)中;會(huì)話是否安全以及SSL證書是否經(jīng)恰當(dāng)處理。用戶可能不會(huì)對(duì)這些感興趣，相反會(huì)將這些應(yīng)用具備合理的安全性視為理所當(dāng)然的事。

桑切斯發(fā)現(xiàn)，40%的經(jīng)審核應(yīng)用都未驗(yàn)證SSL證書的可靠性，這使得這些應(yīng)用十分容易遭受MiTM攻擊。90%的應(yīng)用包括數(shù)個(gè)覆蓋整個(gè)應(yīng)用的非SSL連接，黑客可能據(jù)此偽造登錄提升或類似的騙局。

更糟糕的是，他在這些應(yīng)用的代碼中發(fā)現(xiàn)了硬核憑據(jù)，通過使用硬核憑據(jù)，黑客能夠獲得接入這些銀行開發(fā)基礎(chǔ)架構(gòu)的機(jī)會(huì)，從而利用惡意軟件干擾相關(guān)軟件，并導(dǎo)致所有應(yīng)用的用戶出現(xiàn)大規(guī)模的感染情形。

或許你聽到過多次多因子身份驗(yàn)證方式，但70%的被測(cè)試應(yīng)用沒有替代的驗(yàn)證解決方案來幫助用戶“緩和模擬攻擊的風(fēng)險(xiǎn)”。