研究员对金融APP逆向测试 被测样本中83%存在泄露敏感数据漏洞

研究员对金融APP逆向测试 被测样本中83%存在泄露敏感数据漏洞

黑客软件访客2021-10-11 14:35:0010185A+A-

白帽黑客利用逆向工程对金融应用程序进行测试,并找到了许多安全问题,其中83%的应用程序存在不安全的存储问题。并 发现隐藏在应用程序底层代码中的敏感数据。研究人员表示,利用这些信息,黑客可以恢复应用程序编程接口(API)密钥并使用它们来攻击供应商的后端服务器。

Aite Group的高级网络安全分析师Alissa Knight说:

许多调查结果令人震惊,我甚至发现一些金融机构正在硬编码私钥,API密钥和私有证书 – 所有这些都在实际代码中或存储在应用程序的子目录中。”在其他情况下,Knight说,她发现应用程序使用的URL与之通信,这将允许对手也可以定位后端服务器的API。

主要调查结果包括所有测试的Android应用程序中有97%缺乏二进制代码保护。 “这使得逆向工程或反编译应用成为可能; 根据计划于周二发布的报告,将源代码暴露给分析和篡改。

83%被测程序有漏洞

“如果应用程序开发人员实现了应用程序屏蔽和其他安全性,例如应用程序绑定,重新打包检测和篡改检测,静态数据加密和密钥保护,那么找到这些漏洞几乎是不可能的。”

逆向工程软件长期以来一直是黑帽和黑帽黑客使用的技术。 上个月在旧金山举行的RSA会议上,美国国家安全局发布了其Ghidra逆向工程平台。

对于白帽子,像Ghidra这样的工具扮演着至关重要的角色,帮助他们对恶意软件进行逆向工程,帮助他们了解恶意软件是如何工作的,它做了什么,并揭示了谁写了它或者它来自哪里的线索。 黑帽子可以从代码中收集类似的数据,并将其用作攻击的黑客跳板。

Knight表示,她对30个样本应用程序的逆向工程工作表明,83%的应用程序在应用程序控件之外测试了不安全的存储数据。另外,70%的应用程序使用不安全的随机数生成器 。

参考链接:https://threatpost.com/financial-apps-are-ripe-for-exploit-via-reverse-engineering/143348/

原文链接:http://toutiao.secjia.com/article/page?topid=111361
点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 痛言好倦2022-06-04 16:33:11
  • ,她对30个样本应用程序的逆向工程工作表明,83%的应用程序在应用程序控件之外测试了不安全的存储数据。另外,70%的应用程序使用不安全的随机数生成器 。参考链接:https://threatpost.com/finan
  • 辙弃鹿鸢2022-06-04 17:20:47
  • r-exploit-via-reverse-engineering/143348/原文链接:http://toutiao.secjia.com/article/page?topid=111361
  • 孤鱼氿雾2022-06-04 20:57:34
  • 白帽黑客利用逆向工程对金融应用程序进行测试,并找到了许多安全问题,其中83%的应用程序存在不安全的存储问题。并 发现隐藏在应用程序底层代码中的敏感数据。研究人员表示,利用这些信息,黑客可以恢复应用程序编程接口(API)密钥并使用它们来
  • 绿邪俛就2022-06-04 16:52:51
  • roid应用程序中有97%缺乏二进制代码保护。 “这使得逆向工程或反编译应用成为可能; 根据计划于周二发布的报告,将源代码暴露给分析和篡改。83%被测程序有漏洞“如果应用程序开发人员实现了应用程序屏蔽和
  • 夙世沐白2022-06-04 19:29:12
  • 和黑帽黑客使用的技术。 上个月在旧金山举行的RSA会议上,美国国家安全局发布了其Ghidra逆向工程平台。对于白帽子,像Ghidra这样的工具扮演着至关重要的角色,帮助他们对恶意软件进行逆向

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理