Французский из шкафа №20 АРТИКЛИ СО СТРАНАМИ - ARTICLES DÉFINIS
すべてではないにしても、ほとんどのセキュリティ重視のアプリは、TLS接続として知られているものを使用して、サーバーと携帯電話の間に安全に暗号化されたリンクを作成します。これにより、電話で銀行取引をしているときなど、ランダムで危険なサーバーではなく、実際に銀行と通信していることが保証されます。
水曜日にオーランドで開催されたComputer Security Applications Conferenceで発表された論文によると、バーミンガム大学の研究者らは、TLS接続を設定するときに9つの一般的な銀行用アプリが適切な予防策を講じていないことを発見しました。これらのアプリは1000万人の複合ユーザーベースを持ち、この欠陥が悪用された場合、そのすべての銀行のログイン認証情報が危険にさらされる可能性がありました。
バーミンガム大学のコンピューターセキュリティ博士課程の学生であるChris McMahon Stone氏は、次のように述べています。 逆 。 「この問題は修正されました。関係するすべての銀行に公開しました。しかし、攻撃者がこの脆弱性を知っていて、ユーザーが古いアプリを実行していると言った場合、悪用するのは簡単です。唯一の要件は、攻撃者が被害者と同じネットワーク上にいる必要があることです。これは、公衆WiFiネットワークのようなものです。
これが影響を受けるアプリのリストです。
TLS接続は、あなたがあなたの銀行のログイン情報をタイプインしたとき、あなたはそれをあなたの銀行に送信し、他の誰にも送信していないことを確実にすることになっています。このセキュリティ対策は2段階のプロセスです。
それは、銀行や他の団体が暗号で署名された証明書を送信することから始まり、彼らが本物であると主張する者であることを確認します。これらの署名は、このプロセスで信頼されている第三者である認証局によって発行されます。
この証明書が送信されたら(そしてアプリはそれが合法であることを確認したら)、サーバーのホスト名を確認する必要があります。これは、接続しようとしているサーバーの名前を単にチェックして、他のユーザーとの接続が確立されていないことを確認するだけです。
これらの銀行がボールを落としたのはこの2番目のステップです。
「私たちが発見したこれらのアプリの中には、証明書が正しく署名されていることを確認するためのものがありましたが、ホスト名を正しく確認できなかった」とStone氏は言います。 「それで、彼らはどんなサーバーのためのどんな有効な証明書も期待するでしょう。」
これは、攻撃者が証明書を偽装して中間者攻撃を仕掛ける可能性があることを意味します。攻撃者が銀行とユーザーの間の接続をホストしている場所。これは彼らにアクセスを与えるでしょう すべて その接続中に送信された情報。
この問題は修正されましたが、上記のアプリのいずれかを使用している場合 しなければならない 修正を適用するためにアプリが更新されていることを確認してください。 Stone氏はまた、人々が自宅でモバイルバンキングを行うことを強く求めている。
Web上で安全に、友達に。