精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

上周，英國伯明翰大學安全研究人員公布了移動銀行App中的安全缺陷，該缺陷可致數(shù)百萬用戶面臨被黑風險升高。

研究人員開發(fā)了名為“Spinner”的工具，來對移動App執(zhí)行半自動安全測試。對400個安全關(guān)鍵App樣本進行測試后，他們在很多銀行App中發(fā)現(xiàn)了一個嚴重缺陷——包括匯豐銀行、英國西敏寺銀行和Co-op銀行提供的App，還有美國銀行的Health賬戶App。

研究人員發(fā)現(xiàn)，盡管銀行在App安全方面很盡責，一項所謂的“證書鎖定”技術(shù)——本應提升安全的技術(shù)，卻意味著標準測試難以檢測出可致攻擊者接管受害者網(wǎng)銀的嚴重漏洞。

弗拉維奧·加西亞博士解釋道：“證書鎖定是提高連接安全的一項好技術(shù)，但該案例中，這項技術(shù)卻讓滲透測試員難以發(fā)現(xiàn)更嚴重的問題——缺乏恰當?shù)闹鳈C名驗證。”

該安全弱點為攻擊者創(chuàng)建了一個可能的機制——只要接入所害者所處相同網(wǎng)絡（如同個WiFi熱點），攻擊者就可執(zhí)行“中間人攻擊”并收獲用戶憑證，比如用戶名和口令/PIN碼。研究人員還發(fā)現(xiàn)了其他潛在的攻擊渠道，包括在桑坦德銀行和愛爾蘭聯(lián)合銀行的軟件產(chǎn)品中執(zhí)行某些“App內(nèi)網(wǎng)絡釣魚”活動。

　　App內(nèi)置的釣魚攻擊

這些攻擊可使黑客在銀行App運行時接管屏幕的一部分，并以此誘騙受害者的登錄憑證。

修復

伯明翰大學的研究人員，與相關(guān)銀行及英國國家網(wǎng)絡安全中心合作，修復了所有漏洞，目前全部受影響App的當前版本均已安全。

App安全公司Arxan表示，使用研究人員同款老舊蘋果設(shè)備的銀行客戶（可能是第一代iPad，系統(tǒng)最高到 iOS 5.1.1），應考慮采用別的什么東西來訪問網(wǎng)銀了。

該公司歐洲、中東和非洲(EMEA)技術(shù)總監(jiān)溫斯頓·邦德，敦促銀行審查該研究，并向客戶推送更新。

銀行應盡快修復漏洞并向客戶推送更新。該研究中重點強調(diào)的一個漏洞，就是老舊蘋果設(shè)備的用戶，因受制于老舊iOS版本，一旦App開發(fā)人員將最低支持OS版本調(diào)高，便無法接受任何更新。他們被釘在了最后一個兼容的版本上，無論其中含有什么漏洞和缺陷，都只有受著。

為了銀行及其他需保護自己不受過時App影響的組織，每個主流App開發(fā)人員，都不得不在采納最新iOS特性的無情壓力，和繼續(xù)更新老舊設(shè)備用戶的需求上，做出平衡。

銀行部署的健壯加密技術(shù)，也應抵御各種攻擊，即便是在用戶通過老舊或未完全修復的設(shè)備連接服務的情況下。

證書鎖定是確保移動App只與英國通聯(lián)的服務器直接對話的一種方式。所有通信流量都經(jīng)過強加密，且只有到達正確地點才能被理解。這樣，任何人都插不進用戶和銀行中間，看不到賬戶余額，也改不了支付信息。

實現(xiàn)證書鎖定的方式有很多種，在靈活性和安全性上有所取舍。

值得指出的是，伯明翰大學的團隊在遵從應用商店證書協(xié)議規(guī)定的同時，成功執(zhí)行了這些攻擊——這些規(guī)定禁止逆向工程或修改App。真正的攻擊者可沒這么友好。

反惡意軟件公司ESET安全專家馬克·詹姆斯稱，通過移動設(shè)備使用金融服務，無論是智能手機還是平板電腦，如果可能的話，最好還是接入蜂窩網(wǎng)絡；如果條件不允許，至少通過VPN來最小化連接被劫持的風險。

今年1月的金融密碼及數(shù)據(jù)安全大會會議論文《主流英國銀行App TLS 安全分析》中，列出了該研究的一些初步結(jié)論。完整結(jié)果發(fā)表在上周的第33屆計算機安全應用大會論文《Spinner：無主機名驗證鎖的半自動化檢測》。

完整論文：

https://www.cs.bham.ac.uk/~garciaf/publications/why_banker_bob.pdf