Los investigadores de seguridad descubrieron que algunos de los principales bancos del Reino Unido y de los EE. UU. Tenían vulnerabilidades en sus aplicaciones móviles que potencialmente permitían a las partes malintencionadas robar credenciales de inicio de sesión, aunque aparentemente ahora se han reparado estos agujeros..

Investigadores del departamento de ciencias de la computación de la Universidad de Birmingham en el Reino Unido descubrieron que los bancos, incluido HSBC, y también un proveedor de VPN, TunnelBear, tenían fallas en sus aplicaciones de iOS y Android que permitían los ataques del "hombre en el medio" tener lugar.

  • Hemos seleccionado todos los mejores servicios VPN gratuitos.

El problema se refería a la forma en que las aplicaciones realizan la "fijación de certificados", lo que permite al software especificar un determinado certificado de confianza para un servidor determinado. La vulnerabilidad estaba en la implementación de la fijación y verificación de certificados utilizada al crear una conexión TLS, explica Threatpost.

El resultado es que fue posible falsificar dicho certificado y, por lo tanto, llevar a cabo un ataque "hombre en el medio", en el que la parte maliciosa puede obtener los datos de inicio de sesión de la víctima.

Compromisos críticos

Obviamente, esto es particularmente importante cuando se trata de banca en línea, y las aplicaciones afectadas incluían una amplia gama de aplicaciones HSBC (incluida la aplicación HSBC básica y la aplicación HSBC Business), junto con Bank of America Health, Meezan Bank y Smile Bank..

También es preocupante que un proveedor de VPN pueda tener un agujero en su software, considerando que las Redes Privadas Virtuales tratan de hacer de Internet un lugar más seguro y privado para los usuarios..

De acuerdo con el informe, todos los bancos han corregido las vulnerabilidades relevantes en sus aplicaciones, pero esto solo demuestra que incluso el software que debería ser ultra seguro podría tener agujeros..

Si bien TunnelBear no se menciona, probablemente el proveedor también haya implementado una solución, usted esperaría.

Los investigadores concluyeron: “Claramente, la abundancia de opciones de implementación de anclaje disponibles para los desarrolladores ha jugado un papel en la causa de que se hagan estas fallas. Los proveedores de la plataforma pueden hacer que esto sea un problema menor al proporcionar implementaciones estandarizadas con documentación clara. Con este fin, Google ha introducido la configuración de seguridad de red en el SDK de Android 7.0..

“Si los desarrolladores de aplicaciones utilizan estas implementaciones estándar, en lugar de implementar sus propias bibliotecas o usar bibliotecas de terceros, es mucho menos probable que ocurran estos errores..”

  • Revisa los mejores servicios de VPN para obtener las mejores ofertas y ofertas de VPN.