الملخص

إكتشف الباحثون بأن تطبيقات بعض البنوك قد احتوت على ثغرة إن استغلت فستسمح للمخترق بأن يفك تشفير بيانات مستخدمي التطبيق عبر الشبكة ثم يعاينها ويقوم بتعديلها.

طور باحثون من جامعة برمنجهام أداة لتقوم بعملية شبه أوتوماتيكية لاختبار أمان تطبيقات الجوالات، بعد تطبيق الأداة على عينة من 400 تطبيق يتطلب أمان عالي تم اكتشاف ثغرة أمان في تطبيقات البنوك، متضمنة تطبيقات لـ HSBC و NatWest و Co-op و Bank of America Health.

هذه الثغرة تسمح للمخترق الموجود على نفس شبكة الضحية (مثال: شبكة واي فاي عامة أو في منشأة) بالقيام بما يسمى بـ” Man in the Middle Attack ” -التي تعني بأن يكون المخترق في وسط اتصال بين طرفين يعتقدون بأنهم يتواصلون بشكل مباشر- وسرقة بيانات الضحية كاسم المستخدم وكلمة المرور/الرمز المؤقت.

وجد الباحثون بأن البنوك قد بذلت جهد كبير من أجل أمن تطبيقاتها وبالرغم من ذلك فإن هنالك تقنية معينة تسمى بـ “حصر الوثائق” حيث تساعد عادةً في تحسين الأمان، قد أوضحت بأن الاختبارات القياسية قد فشلت في اكتشاف ثغرة خطيرة تسمح للمخترق بأن يتحكم في معاملات الضحية البنكية.

وجدت هذه الاختبارات بأن تطبيقات بعض البنوك الكبرى في العالم قد احتوت على هذه الثغرة، التي إن استغلت فستسمح للمخترق بأن يفك تشفير بيانات مستخدمي التطبيق عبر الشبكة ثم يعاينها ويقوم بتعديلها، بهذه القدرات فإن المخترق سيكون قادر على استعمال أي خدمات من الممكن عملها باستعمال التطبيق.

تم أيضاً إيجاد ثغرات أخرى، متضمنةً هجمات لسرقة البيانات الشخصية من خلال التطبيق ضد بنكي Santandar و Allied Irish، هذه الهجمات تسمح للمخترق بأن يستحوذ على جزء من الشاشة أثناء عمل التطبيق، ويستغل ذلك في سرقة بيانات الضحية الشخصية.

عمل الباحثون مع البنوك المعنيّة ومع مركز الأمن السيبراني الوطني للحكومة البريطانية لمعالجة كل هذه الثغرات، وأصبحت النسخ الحالية من التطبيقات التي تأثرت بهذه الثغرة آمنة آلان. نصح الباحثون بأن يتأكد مستخدمي تطبيقات البنوك من استعمالهم لأحدث نسخة للتطبيق وأن يقوموا بتحديث تطبيقاتهم فور توفر نسخ محدثة.

قام بالبحث أعضاء مجموعة الأمن والخصوصية في جامعة برمنجهام، كلاً من الدكتور توم تشوثيا والدكتور فلافيو قارسيا والمرشح للدكتوراه كريس مكماهون ستون.

قال الدكتور توم تشوثيا “بشكل عام أمن التطبيقات التي اختبرناها كان جيد جداً، الثغرات التي وجدناها كانت صعبة الإيجاد وكل ما وجدناه كان نقاط ضعف كثيرة بواسطة الأداة التي طورناها.” وأضاف “من المستحيل تحديد ما إذا كانت هذه الثغرات قد استغلت من قبل، لكن إذا حصل ذلك فإن المخترقين سيستطيعون الوصول للتطبيق البنكي لأي أحد متصل بالشبكة المتضررة”.

الدكتور فلافيو قارسيا قال ” تعد عملية – حصر الوثائق – طريقة جيدة في تحسين أمان الاتصال، لكن في هذه الحالة فإنها جعلت من الصعب على مختبري الاختراقات  تحديد المشكلة الأهم وهي عدم وجود طريقة جيدة للتحقق من صحة اسم المضيف”.

ويقول كريس مكماهون ستون “ولأن هذه الثغرة عموماً صعبة الإيجاد بواسطة طرق التحليل المعتادة، فإننا طورنا أداة اكتشاف شبه أوتوماتيكية وسهلة الاستعمال وهذا سيساعد المطورين ومختبري الاختراقات ليتأكدوا من سلامة تطبيقاتهم من هذه الهجمات”.

بعض من النتائج المبدئية نشرت في الورقة العلمية “”تحليل أمني لـبروتوكول TLS في التطبيقات المصرفية الرائدة في المملكة المتحدة” التي عرضت في مؤتمر أمن البيانات والتشفير المالي في يناير. النتائج الكاملة ستنشر في الورقة العلمية ” سبينر: شبه التلقائي عن التثبيت دون التحقق من اسم المضيف” التي ستعرض في المؤتمر السنوي لأمن الكمبيوتر الثالث والثلاثين في أورلاندو.

المترجمة: أثير عبدالله علي

المراجعة: ندى محمود

Twitter @NaduSid

المصدر :

Science Daily: Your source for the latest research news