バンキングアプリの脆弱性

 2017.12.08  三和コムテック

英国バーミンガム大学のセキュリティリサーチチームが、大手銀行のバンキングアプリから脆弱性を発見しています。

Spinner: Semi-Automatic Detection of Pinning without Hostname Verification

http://www.cs.bham.ac.uk/~garciaf/publications/spinner.pdf

対象アプリにはHSBC、NatWest、Co-op、アライド・アイリッシュ銀行などが含まれ、現在は脆弱性が修正されています。

アプリは中間者攻撃を防ぐためのSSLピンニング機能を使用していましたが、今回発見された脆弱性はその回避を可能にするものでした。攻撃者は脆弱性を利用して、ユーザーと同じネットワークに接続し、SSL接続を傍受してユーザー名やパスワード、PINコードなどの認証情報を得ることが可能でした。

SSLピンニングは、不正なSSL証明書を見破るための機能ですが、いくつかのバンキングアプリではこのピンニングでホスト名のチェックをせず、証明書のソースが信頼できるかどうか確認できていませんでした。これにより、ユーザーが操作する画面を攻撃者がハイジャックして認証情報などを入力させる、フィッシング攻撃が可能になっていました。

今回、バーミンガム大学のリサーチチームはSpinnerという自動ツールを開発し、多数のアプリとホストの脆弱性をスキャンしています。大規模なスキャンをIoT向けのスキャニングエンジンCensysを利用して行っています。
SCT Security Solution Book
設定によりWindows8以降のASLRが不適切に行われる可能性
TLS 実装で Bleichenbacher 攻撃対策が不十分な可能性

RECENT POST「セキュリティ」の最新記事

情報漏えいの対策とは?発生原因から事例・対策までを紹介
セキュリティ

2024.11.22

情報漏えいの対策とは?発生原因から事例・対策までを紹介
脆弱性診断ツールとは?どういった種類があるのか比較しながら紹介
セキュリティ

2024.11.22

脆弱性診断ツールとは?どういった種類があるのか比較しながら紹介
SBOMとは?導入手順や管理ツールの選び方を分かりやすく解説
セキュリティ

2024.11.19

SBOMとは?導入手順や管理ツールの選び方を分かりやすく解説
ランサムウェア攻撃被害からわかる、共通の攻撃起点とは?
セキュリティ

2024.11.04

ランサムウェア攻撃被害からわかる、共通の攻撃起点とは?
バンキングアプリの脆弱性
ブログ無料購読のご案内
資料ダウンロード イベント・セミナー

人気記事ランキング

  1. 【無料あり】おすすめのOSINTツール7選|導入メリットや活用例も解説
  2. 情報セキュリティリスクの「脅威」と「脆弱性」|違いと関係性を理解し正しく対策しよう
  3. ニコニコ動画が襲われた!サイバー攻撃の恐怖と対策
  4. サプライチェーンリスクとは?重要性と対策をわかりやすく解説
  5. OTセキュリティとは?ITセキュリティとの違い、重要性について解説

おすすめ資料

目次

Copyright ©2024 Sanwa Comtec KK. All rights reserved.

個人情報保護方針 お問い合わせ

PAGETOP