Birmingham Üniversitesi’ndeki Güvenlik ve Gizlilik Grubu araştırmacıları tarafından keşfedilen bir güvenlik açığının[1], yüzlerce farklı bankacılık uygulamasını (hem iOS hem de Android) etkilediği ve çoğunun “ortadaki adam (MiTM) saldırılarına karşı savunmasız olduğu açıklandı.
Etkilenen bankacılık uygulamaları arasında HSBC, NatWest, Co-op, Santander gibi bir çok büyük bankanın uygulaması var. Açığın, araştırmacılar keşfettikten sonra kapatıldığı belirtiliyor.
Açıklamaya göre, savunmasız uygulamalar, kurbanın bağlandığı ağ üzerinden saldırganın bağlanabileceği ve SSL bağlantısını keserek araya girebileceği, bu yolla kullanıcının şifresi, hesap numarası gibi bilgilerini alabileceği kaydediliyor.
Gerçi SSL pinning (sabitleme) özelliği varsa “ortadaki adam (MiTM)” saldırıları önlenebiliyor ama bu açıkta pinning bile yeterli olmuyor. SSL’in 2 tanımlamasından birisi (onay) sorunlu. SSL, hem sertifikanın güvenilir olup olmadığına, hem de bağlanılan sunucunun doğru sertikaya sahip olup olmadığına bakar. Ama araştırmacıların bulgularına göre, bankacılık uygulamalarının çoğu güvenilir bir kaynağa bağlanmışsa host adını kontrol etmiyor.
Yüzlerce bankacılık uygulamasındaki bu güvenlik açığını hızlı bir şekilde ve sertifikalar satın almak zorunda kalmadan test etmek için araştırmacılar, Spinner olarak adlandırılan yeni bir otomatik araç oluşturdu.
Üç araştırmacı olan Chris McMahon Stone, Tom Chothia ve Flavio D. Garcia, etkilenen tüm bankaları bilgilendirmek için İngiliz National Cyber Security Center (NCSC) ile birlikte çalıştı ve ancak açık kapandıktan sonra bu hafta araştırmalarını kamuoyu ile paylaştılar.
[1] Spinner: Semi-Automatic Detection of Pinning without Hostname Verification
Kaynak : 