上周，英国伯明翰大学安全研究人员公布了移动银行App中的安全缺陷，该缺陷可致数百万用户面临被黑风险升高。

       研究人员开发了名为“Spinner”的工具，来对移动App执行半自动安全测试。对400个安全关键App样本进行测试后，他们在很多银行App中发现了一个严重缺陷——包括汇丰银行、英国西敏寺银行和Co-op银行提供的App，还有美国银行的Health账户App。

       研究人员发现，尽管银行在App安全方面很尽责，一项所谓的“证书锁定”技术——本应提升安全的技术，却意味着标准测试难以检测出可致攻击者接管受害者网银的严重漏洞。

       弗拉维奥·加西亚博士解释道：“证书锁定是提高连接安全的一项好技术，但该案例中，这项技术却让渗透测试员难以发现更严重的问题——缺乏恰当的主机名验证。”

       该安全弱点为攻击者创建了一个可能的机制——只要接入所害者所处相同网络（如同个WiFi热点），攻击者就可执行“中间人攻击”并收获用户凭证，比如用户名和口令/PIN码。研究人员还发现了其他潜在的攻击渠道，包括在桑坦德银行和爱尔兰联合银行的软件产品中执行某些“App内网络钓鱼”活动。

App内置的钓鱼攻击

       这些攻击可使黑客在银行App运行时接管屏幕的一部分，并以此诱骗受害者的登录凭证。

       修复

       伯明翰大学的研究人员，与相关银行及英国国家网络安全中心合作，修复了所有漏洞，目前全部受影响App的当前版本均已安全。

       App安全公司Arxan表示，使用研究人员同款老旧苹果设备的银行客户（可能是第一代iPad，系统最高到 iOS 5.1.1），应考虑采用别的什么东西来访问网银了。

       该公司欧洲、中东和非洲(EMEA)技术总监温斯顿·邦德，敦促银行审查该研究，并向客户推送更新。

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。