研究员对金融APP逆向测试 被测样本中83%存在泄露敏感数据漏洞

白帽黑客利用逆向工程对金融应用程序进行测试，并找到了许多安全问题，其中83%的应用程序存在不安全的存储问题。并 发现隐藏在应用程序底层代码中的敏感数据。研究人员表示，利用这些信息，黑客可以恢复应用程序编程接口（API）密钥并使用它们来攻击供应商的后端服务器。

Aite Group的高级网络安全分析师Alissa Knight说：

许多调查结果令人震惊，我甚至发现一些金融机构正在硬编码私钥，API密钥和私有证书 – 所有这些都在实际代码中或存储在应用程序的子目录中。”在其他情况下，Knight说，她发现应用程序使用的URL与之通信，这将允许对手也可以定位后端服务器的API。

主要调查结果包括所有测试的Android应用程序中有97％缺乏二进制代码保护。 “这使得逆向工程或反编译应用成为可能; 根据计划于周二发布的报告，将源代码暴露给分析和篡改。

83%被测程序有漏洞

“如果应用程序开发人员实现了应用程序屏蔽和其他安全性，例如应用程序绑定，重新打包检测和篡改检测，静态数据加密和密钥保护，那么找到这些漏洞几乎是不可能的。”

逆向工程软件长期以来一直是黑帽和黑帽黑客使用的技术。 上个月在旧金山举行的RSA会议上，美国国家安全局发布了其Ghidra逆向工程平台。

对于白帽子，像Ghidra这样的工具扮演着至关重要的角色，帮助他们对恶意软件进行逆向工程，帮助他们了解恶意软件是如何工作的，它做了什么，并揭示了谁写了它或者它来自哪里的线索。 黑帽子可以从代码中收集类似的数据，并将其用作攻击的黑客跳板。

Knight表示，她对30个样本应用程序的逆向工程工作表明，83％的应用程序在应用程序控件之外测试了不安全的存储数据。另外，70％的应用程序使用不安全的随机数生成器 。

参考链接：https://threatpost.com/financial-apps-are-ripe-for-exploit-via-reverse-engineering/143348/

原文链接：http://toutiao.secjia.com/article/page?topid=111361