Les utilisateurs d'applications mobiles pourraient se sentir un peu plus en sécurité à l'avenir. Une équipe de l’Université de Birmingham a développé un outil pour effectuer des tests de sécurité semi-automatisés de ces applications..

En particulier, l'outil peut identifier les vulnérabilités critiques dans les applications bancaires - les chercheurs ont identifié des problèmes dans les applications HSBC, NatWest et Bank Co-op..

Cela permettait aux attaquants, connectés au même réseau que les victimes (par exemple sur un réseau WiFi public ou professionnel), d'effectuer une tâche dite “Homme au milieu de l'attaque” et récupérer des informations d'identification telles que les noms d'utilisateur et les mots de passe / codes d'identification.

Bien que les banques aient déployé beaucoup d’efforts pour maintenir une sécurité stricte, une technologie appelée «épinglage de certificats» s’avérait vulnérable. Les tests de Birmingham ont révélé que les applications des principales banques mondiales contenaient cette faille qui, si elle était exploitée, aurait pu permettre à un attaquant de déchiffrer, d'afficher et de modifier le trafic réseau des utilisateurs de l'application. Un attaquant doté de cette capacité pourrait alors effectuer toute opération normalement possible sur l'application..

Ce n'était pas la seule vulnérabilité identifiée. Les chercheurs ont également découvert des attaques par phishing intégrées à l'application contre Santander et la banque irlandaise Allied. Ceux-ci auraient permis à un attaquant de s'emparer d'une partie de l'écran pour hausser les identifiants de connexion de la victime..

Réparer la faille

Les chercheurs ont travaillé avec les banques impliquées et le National Cyber ​​Security Center du gouvernement britannique pour corriger toutes les vulnérabilités. Les versions actuelles de toutes les applications affectées par cette vulnérabilité sont désormais sécurisées..

Les recherches ont été menées par le Dr Tom Chothia, le Dr Flavio Garcia et le candidat au doctorat Chris McMahon Stone, tous membres du groupe Sécurité et confidentialité de l’Université de Birmingham.

Dr Tom Chothia a déclaré, “En général, la sécurité des applications que nous avons examinées était très bonne, les vulnérabilités que nous avons découvertes étaient difficiles à détecter et nous n'avons pu trouver que de nombreuses faiblesses en raison du nouvel outil que nous avons développé.” il ajouta “Il est impossible de dire si ces vulnérabilités ont été exploitées, mais si elles étaient attaquantes, elles auraient pu accéder à l'application bancaire de toute personne connectée à un réseau compromis.”.

  • Meilleures offres de téléphonie mobile en décembre