УРОК 12. Article défini. ОПРЕДЕЛЕННЫЙ АРТИКЛЬ ВО ФРАНЦУЗСКОМ ЯЗЫКЕ.
大多数(如果不是全部)安全敏感型应用程序使用所谓的TLS连接在其服务器和手机之间创建安全加密的链接。这可以确保当您在手机上进行银行业务时,实际上您正在与银行进行通信,而不是随机的,有潜在危险的服务器。
只有一个小问题:根据周三在奥兰多举行的年度计算机安全应用大会上发表的一篇论文,伯明翰大学的研究人员发现9个流行的银行应用程序在设置TLS连接时没有采取适当的预防措施。这些应用程序拥有1000万人的综合用户群,如果利用此漏洞,其所有银行登录凭据都可能已被泄露。
“这很严重,用户相信这些银行可以保证他们的运营安全,”伯明翰大学计算机安全博士生Chris McMahon Stone告诉他们 逆 。 “这个漏洞现在已经修复,我们向所有相关银行披露了这一漏洞。但是,如果攻击者知道这个漏洞,并说用户正在运行一个过时的应用程序,那么利用它将是非常简单的。唯一的要求是攻击者需要与受害者在同一网络上,因此就像公共WiFi网络一样。
根据论文,这是受影响的应用列表。
TLS连接应该确保当您输入银行登录信息时,您只会将其发送给您的银行而不是其他人。此安全预防措施分为两步。
它始于银行或其他实体通过加密签名证书发送,验证他们确实是他们声称的人。这些签名由证书颁发机构颁发,证书颁发机构在此过程中是受信任的第三方。
一旦发送此证书 - 并且应用程序确保它是合法的 - 必须验证服务器的主机名。这只是检查您尝试连接的服务器的名称,以确保您没有与其他任何人建立连接。
这是这些银行放弃球的第二步。
“我们发现的一些应用程序正在检查证书是否已正确签名,但他们没有正确检查主机名,”Stone说。 “所以他们会期望任何服务器都有有效的证书。”
这意味着攻击者可以欺骗证书并发起中间人攻击。攻击者托管银行与用户之间的连接的地方。这将使他们能够访问 所有 在该连接期间发送的信息。
虽然此漏洞已得到纠正,但如果您使用上面列出的任何应用程序, 必须 确保您的应用已更新以获得修复。 Stone还强烈要求人们在家中进行手机银行业务,这是他们自己的网络,以避免任何中间人攻击的可能性。
朋友们,保持网络安全。