Bu guvenlik acığı, “Orta Atakta Adam” olarak adlandırılan ve kullanıcı isimi ve şifre / pin kodu gibi kullanıcı kimlik bilgilerini almak icin kurbanla aynı ağa (orn. Public WiFi veya muessesesel) bağlı bir saldırgana musaade etti. .
Araştırmacılar, bankaların uygulamalarının guvenliğini sağlamak icin cok gayret sarfettiklerini, ancak “sertifika sabitleme” olarak adlandırılan ve normalde guvenliği artıran belirli bir teknolojinin kullanıldığını saptadı; bu, standart testlerin ciddi bir guvenlik acığı saptayamadığı mananına geliyordu Bu, saldırganların bir kurbanın cevrimici bankacılığını kontrol etmesine kapı aralayabilir.
Testler, dunyanın en buyuk bankalarının bazılarının kullandığı bu kusurun bulunduğu keşfetti. Bu kusur, saldırıya uğradığında bir uygulayıcıdan gelen kullanıcıların ağ trafiğini cozme, goruntuleme ve değiştirme imkanı tanıdı. Bu yeteneğe sahip bir saldırgan, normalde uygulamada olası olan rastgele bir işlemi gercekleştirebilir.
Santander ve Bağlaşık İrlanda bankasına karşı “uygulama ici phishing saldırıları” da dahil olmak uzere diğer saldırılar da bulundu. Bu saldırılar, bir saldırganın uygulama calışırken ekranın bir bolumunu ele gecirmesine ve mağdurun seans acma kimlik bilgileri icin phish yapmak icin kullanmasına musaade edebilirdi.
Araştırmacılar, tum guvenlik acıklarını gidermek icin alakalı bankalar ve Birleşik Kraliyet hukumetinin Milli Siber Guvenlik Merkezi ile beraber calıştı ve bu kilitleme acığından etkilenen tum uygulamaların gecerli surumleri artık guvenli.
Araştırmacılar, bankacılık uygulamalarının tum kullanıcılarının uygulamanın her vakit en yeni surumunu kullandıklarından ve sunulduktan sonra her zaman yeni surume gecirmeler yapmalarını sağlamalarını oneriyor.
Araştırma Birmingham Universitesi ’nde Guvenlik ve Saklılık Grubu azası olan Dr. Tom Chothia, Dr Flavio Garcia ve PhD adayı Chris McMahon Stone tarafından gercekleştirildi.
Dr Tom Chothia, “Genel olarak incelediğimiz uygulamaların guvenliği cok iyi, bulduğumuz guvenlik acıklarının saptaması zor ve sadece geliştirdiğimiz yeni arac sebebiyle cok zayıf istikamet bulabildik” diye konuştu. bu guvenlik acıklarının istifade edip etmediğini soyle, ancak saldırganlar saldırıya uğramış bir ağa bağlı herhangi birinin bankacılık uygulamasına ulaşabilirlerse “dedi.
Dr Flavio Garcia, “Sertifikasyon Pinning bir irtibat guvenliğini artırmak icin iyi bir tekniktir, ancak bu vaziyette penetrasyon test2 edenler icin uygun bir ana makine isimi doğrulamasının bulunmaması”
Chris McMahon Stone, “Bu kusurun normal cozumleme tekniklerinden tespit etmesi genel olarak zor olduğundan, yarı otomatikleştirilmiş ve kullanımı kolay bir idrak etme aracı geliştirdik.Bu, geliştiricilerin ve penetrasyon test2 eden kişilerin uygulamalarının bu saldırıya karşı guvenli olmasını sağlamasına yardımcı olacaktır” .”
Ocak ayında, Finansal Şifreleme ve Data Guvenliği Konferansı ’nda sunulan “İngiltere ’de Lider Bankacılık Uygulamalarında TLS ’nin Guvenlik Tahlili” başlıklı yazıda bir takım sonuclar verildi ve tam sonuclar “Spinner: Semi-Automatic Detection” Hane Sahipliğini Doğrulama Olmayan Pinning “başlıklı yazısı Orlando ’da yapılan 33. Senelik Bilgisayar Guvenlik Uygulamaları Konferansı ’nda sunulmaktadır.