研究員對金融APP逆向測試 被測樣本中83%存在泄露敏感數據漏洞
責編:gltian |2019-04-04 16:17:37白帽黑客利用逆向工程對金融應用程序進行測試,并找到了許多安全問題,其中83%的應用程序存在不安全的存儲問題。并?發現隱藏在應用程序底層代碼中的敏感數據。研究人員表示,利用這些信息,黑客可以恢復應用程序編程接口(API)密鑰并使用它們來攻擊供應商的后端服務器。
Aite Group的高級網絡安全分析師Alissa Knight說:
許多調查結果令人震驚,我甚至發現一些金融機構正在硬編碼私鑰,API密鑰和私有證書 – 所有這些都在實際代碼中或存儲在應用程序的子目錄中。”在其他情況下,Knight說,她發現應用程序使用的URL與之通信,這將允許對手也可以定位后端服務器的API。
主要調查結果包括所有測試的Android應用程序中有97%缺乏二進制代碼保護。?“這使得逆向工程或反編譯應用成為可能;?根據計劃于周二發布的報告,將源代碼暴露給分析和篡改。
83%被測程序有漏洞
“如果應用程序開發人員實現了應用程序屏蔽和其他安全性,例如應用程序綁定,重新打包檢測和篡改檢測,靜態數據加密和密鑰保護,那么找到這些漏洞幾乎是不可能的。”
逆向工程軟件長期以來一直是黑帽和黑帽黑客使用的技術。?上個月在舊金山舉行的RSA會議上,美國國家安全局發布了其Ghidra逆向工程平臺。
對于白帽子,像Ghidra這樣的工具扮演著至關重要的角色,幫助他們對惡意軟件進行逆向工程,幫助他們了解惡意軟件是如何工作的,它做了什么,并揭示了誰寫了它或者它來自哪里的線索。?黑帽子可以從代碼中收集類似的數據,并將其用作攻擊的黑客跳板。
Knight表示,她對30個樣本應用程序的逆向工程工作表明,83%的應用程序在應用程序控件之外測試了不安全的存儲數據。另外,70%的應用程序使用不安全的隨機數生成器?。
參考鏈接:https://threatpost.com/financial-apps-are-ripe-for-exploit-via-reverse-engineering/143348/