信息來源：secdoctor

網(wǎng)絡(luò)安全公司 IOActive 研究人員 Alejandro Hernández 近期通過測試 Google 應(yīng)用商店和蘋果商店中最常用的 21 款移動證券交易應(yīng)用程序后發(fā)現(xiàn)多處安全漏洞，可導(dǎo)致泄露用戶密碼及其財務(wù)信息。

研究員 Hernández 通過分析了 21 款應(yīng)用程序的生物識別身份驗證、隱私模式、鎖定時間、加密技術(shù)、root 檢測、社交媒體風(fēng)險等功能后發(fā)現(xiàn)有 4 款應(yīng)用以明文形式暴露用戶密碼，這意味著能夠物理訪問設(shè)備的攻擊者可以輕松登錄交易賬號并竊取資金。此外，近 2/3 的應(yīng)用程序?qū)⒚舾袛?shù)據(jù)發(fā)送到日志文件，允許具備物理訪問權(quán)限的攻擊者了解用戶的凈值、投資策略與賬戶余額。

圖1：IOActive 針對 21 款應(yīng)用的評分審計結(jié)果

據(jù)悉，上述應(yīng)用程序中有 2 款使用了未加密的 HTTP 通道傳輸與接收數(shù)據(jù);13 款應(yīng)用雖然使用了加密的 HTTPS 通道，但不會通過驗證其 SSL 證書檢查遠程節(jié)點。如果用戶使用公共 Wi-Fi 熱點而未采取防御措施時，這兩處漏洞都將使不法分子利用 “中間人(MitM)” 攻擊竊聽與篡改重要數(shù)據(jù)。

圖2：測試應(yīng)用程序中存在 Cleartext 密碼問題

IOActive 表示，他們在其研究完成后立即通知了此類應(yīng)用程序的開發(fā)人員。由于事件仍在處理當(dāng)中，IOActive 決定暫不公開測試應(yīng)用名稱。此外，為更好的保障用戶交易環(huán)境，公司鼓勵監(jiān)管機構(gòu)提高平臺安全態(tài)勢。