数回のクリックとコード行で銀行の金庫を空にする方法

セキュリティ研究者は、わずか数回のクリックとコード行で、インドの銀行の財源を理論的に空けることができたことを実証しました。

今週の初めに、研究者Sathya Prakashは、無名の政府が運営するインドの銀行で複数の重大な脆弱性と不正なコードの発見を明らかにした。

ブラックポストでは、Prakashは2015年後半に、AndroidとiOS用のモバイルバンキングアプリをリリースしました。このアプリは、証明書のピン割り当てに関連するセキュリティホールで詰まっており、研究者が自己署名証明書をインストールできるようにしています。

証明書のピニングは、HTTPS Webサイトが偽の証明書で偽装されるのを防ぐセキュリティプロセスです。これがなければ、サイバー攻撃者はMITM(man-in-the-middle)攻撃を実行し、正当なドメインであると思わせてデータを盗んだり盗んだりする可能性があります。

Prakashは、この機能が不足していることを、銀行業務アプリケーション開発チームの「叙事詩的な失敗」とみなしました。

銀行業務アプリには他にもいくつかのセキュリティ問題が含まれていました。銀行アプリケーションが開かれたとき、ユーザーがアカウントにログインする前に最初に行われた要求は、更新が利用可能かどうかを確認することです。

このチェックではセッションIDが記録され、アカウントIDを確認するなどの正当なリクエストを行うために使用されます。これは「本質的にログインパスワードをバイパスします」というものです。

多くのオンラインおよびモバイル銀行アプリケーションには、アイドルアカウントを安全に保つためのタイムアウト機能が含まれています。 Prakashは、モバイルアプリがそうしたことを知ったが、実際にセッションタイマーがバックエンドシステムに存在しなかったので、タイマーは茶番するものではないことに気づいた。

私の本能は正しかった」とPrakash氏は指摘する。「バックエンドにセッ​​ション無効化のコントロールはなかった。したがって、アプリケーションが手動でセッション破棄APIを呼び出さない限り、セッションIDは永遠に存続します。

この研究者は、インディアン銀行の口座妥当性確認管理にも重大な問題が存在し、サイバー攻撃者がその口座に所属していない口座から金銭を振り替えるための小切手を迂回することができることを認識しました。

Prakashは、銀行の顧客記録を改ざんするために「13行のコード」を使用していましたが、送金のための特定の顧客IDまたは認証コードが実際に送付者に属しているかどうかを確認する検査がないことが判明しました。

Prakashはコメントしました

Prakashは、彼に属していない送信者アカウントを使用して、PoC(proof-of-concept)攻撃でセキュリティの欠陥を実証しました。

脆弱性の範囲と全体的な緩やかなセキュリティにより、サイバー攻撃者には治世が与えられ、2015年には約250億ドルの預金が貯蓄された銀行の金庫の鍵となりました。

アプリの問題点が強調されているにもかかわらず、個人的に彼の調査結果を公開した後、Prakashに戻るために銀行に12日かかった。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

アップルはサーバ側でSiriのロック画面のバイパスセキュリティの欠陥を修正するバグの賞金:研究者のキャッシュを提供する企業、サイバー攻撃者はAdobe Flashゼロデイの脆弱性を脆弱性キットの統合、Webを使って海賊を止めたい彼らは払う

モバイルアプリケーションは、研究者の推奨に基づいて修正されましたが、バグバウンティプログラムを主催していないため、財政的な報酬や与信は出ていませんでした。

読んでください:トップピック

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命