バンキングアプリの脆弱性

英国バーミンガム大学のセキュリティリサーチチームが、大手銀行のバンキングアプリから脆弱性を発見しています。

Spinner: Semi-Automatic Detection of Pinning without Hostname Verification

http://www.cs.bham.ac.uk/~garciaf/publications/spinner.pdf

対象アプリにはHSBC、NatWest、Co-op、アライド・アイリッシュ銀行などが含まれ、現在は脆弱性が修正されています。

アプリは中間者攻撃を防ぐためのSSLピンニング機能を使用していましたが、今回発見された脆弱性はその回避を可能にするものでした。攻撃者は脆弱性を利用して、ユーザーと同じネットワークに接続し、SSL接続を傍受してユーザー名やパスワード、PINコードなどの認証情報を得ることが可能でした。

SSLピンニングは、不正なSSL証明書を見破るための機能ですが、いくつかのバンキングアプリではこのピンニングでホスト名のチェックをせず、証明書のソースが信頼できるかどうか確認できていませんでした。これにより、ユーザーが操作する画面を攻撃者がハイジャックして認証情報などを入力させる、フィッシング攻撃が可能になっていました。

今回、バーミンガム大学のリサーチチームはSpinnerという自動ツールを開発し、多数のアプリとホストの脆弱性をスキャンしています。大規模なスキャンをIoT向けのスキャニングエンジンCensysを利用して行っています。