Los usuarios de aplicaciones móviles podrían comenzar a sentirse un poco más seguros en el futuro. Un equipo de la Universidad de Birmingham ha desarrollado una herramienta para realizar pruebas de seguridad semiautomáticas de estas aplicaciones..

En particular, la herramienta puede identificar vulnerabilidades críticas en las aplicaciones bancarias: los investigadores identificaron problemas en HSBC, NatWest y las aplicaciones del banco cooperativo.

Esto permitió a los atacantes, conectados a la misma red que las víctimas (por ejemplo, en un WiFi público o corporativo), realizar una llamada “Hombre en el ataque medio” y recuperar credenciales como nombres de usuario y contraseñas / códigos pin.

Si bien los bancos habían hecho un gran esfuerzo para mantener una seguridad estricta, una tecnología llamada certificación de certificados estaba demostrando ser vulnerable. Las pruebas de Birmingham encontraron que las aplicaciones de los principales bancos mundiales contenían esta falla, que si se explotaba, podría haber permitido a un atacante descifrar, ver y modificar el tráfico de red de los usuarios de la aplicación. Un atacante con esta capacidad podría realizar cualquier operación que normalmente sea posible en la aplicación.

Esta no fue la única vulnerabilidad identificada. Los investigadores también encontraron ataques de phishing en la aplicación contra Santander y el banco Allied Irish. Estos habrían permitido que un atacante tomara parte de la pantalla para phish para obtener las credenciales de inicio de sesión de la víctima.

Arreglando el defecto

Los investigadores trabajaron con los bancos involucrados, y el Centro Nacional de Seguridad Cibernética del gobierno del Reino Unido para corregir todas las vulnerabilidades, y las versiones actuales de todas las aplicaciones afectadas por esta vulnerabilidad de anclaje son ahora seguras..

La investigación fue llevada a cabo por el Dr. Tom Chothia, el Dr. Flavio Garcia y el candidato a PhD Chris McMahon Stone, todos miembros del Grupo de Seguridad y Privacidad de la Universidad de Birmingham.

Dr. Tom Chothia dijo, “En general, la seguridad de las aplicaciones que examinamos fue muy buena, las vulnerabilidades que encontramos fueron difíciles de detectar y solo pudimos encontrar muchas debilidades debido a la nueva herramienta que desarrollamos.” el agregó “Es imposible saber si estas vulnerabilidades fueron explotadas pero si fueran atacantes podrían haber tenido acceso a la aplicación bancaria de cualquier persona conectada a una red comprometida.”.

  • Las mejores ofertas de telefonía móvil en diciembre