Upute za korištenje aplikacije TEAMS
Većina, ako ne i sve, sigurnosno osjetljive aplikacije koriste TLS vezu za stvaranje sigurne šifrirane veze između svojih poslužitelja i telefona. Time se osigurava da kada budete, recimo, obavljate bankovne poslove na svom telefonu, zapravo komunicirate s bankom, a ne s nekim slučajnim, potencijalno opasnim poslužiteljem.
Postoji samo jedan mali problem: prema dokumentu predstavljenom u srijedu na godišnjoj konferenciji o primjeni računalne sigurnosti u Orlandu, istraživači sa Sveučilišta u Birminghamu otkrili su da devet popularnih bankarskih aplikacija ne poduzimaju odgovarajuće mjere predostrožnosti prilikom postavljanja TLS veze. Ove aplikacije imaju kombiniranu korisničku bazu od 10 milijuna ljudi, čije su vjerodajnice za bankovnu prijavu mogle biti ugrožene ako se ovaj nedostatak iskoristi.
"Ovo je ozbiljno, korisnici vjeruju da ove banke mogu obavljati svoje operativne poslove", kaže Chris McMahon Stone, doktorant za računalnu sigurnost na Sveučilištu u Birminghamu. Inverzan, “Ovaj je nedostatak sada fiksan, otkrili smo ga svim uključenim bankama. Ali ako napadač zna za ovu ranjivost i kaže da korisnik koristi zastarjelu aplikaciju, onda bi bilo prilično trivijalno za eksploataciju. Jedini uvjet je da napadač mora biti na istoj mreži kao i njihova žrtva, kao i javna WiFi mreža.
Evo popisa zahvaćenih aplikacija, na papiru.
TLS veza trebala bi osigurati da prilikom unosa podataka za prijavu u banku šaljete je samo svojoj banci i nikome drugom. Ova mjera sigurnosti je proces u dva koraka.
Počinje s bankama ili drugim subjektima koji šalju kriptografski potpisani certifikat, provjeravajući jesu li doista oni za koje tvrde da su. Ove potpise izdaju tijela za izdavanje certifikata, koje su u tom procesu pouzdane treće strane.
Nakon slanja ovog certifikata - a aplikacija osigurava da je legitimna - mora se potvrditi naziv poslužitelja. Ovo je jednostavno provjera imena poslužitelja koji pokušavate povezati kako biste bili sigurni da ne uspostavljate vezu s drugim korisnicima.
To je drugi korak u kojem su te banke odbacile loptu.
"Neke od tih aplikacija koje smo otkrili provjeravaju je li certifikat ispravno potpisan, ali nisu ispravno provjerili naziv hosta", kaže Stone. "Dakle, očekuju svaki valjani certifikat za bilo koji poslužitelj."
To znači da bi napadač mogao prevariti certifikat i montirati napad čovjeka u sredini. Tamo gdje napadač hostira vezu između banke i korisnika. To bi im omogućilo pristup svi informacije poslane tijekom te veze.
Iako je ovaj nedostatak otklonjen, ako koristite bilo koju od gore navedenih aplikacija mora provjerite je li aplikacija ažurirana da biste dobili popravak. Stone također snažno potiče ljude da rade svoje mobilno bankarstvo kod kuće, jednu vlastitu mrežu kako bi izbjegli bilo kakve mogućnosti napada na čovjeka.
Ostanite sigurni na webu, prijatelji.
Hello Kitty je hakiran: info za 3,3 milijuna korisnika ide Feral
Hello Kitty - znate, ta beživotna, ali još izražajnija, luta igračka za mačkice - bila je razbijena, uništena i puštena u divljinu. (Moglo bi se reći da su svi Sanrioovi navodno privatni podaci o korisnicima otišli divlje.) Informacije su uključivale gotovo sve, od punih imena korisnika i korisnika.
Ažuriranje 'Pokemon GO' Popravlja sigurnosni propust 'opsega Google računa'
Nakon što su istraživači sigurnosti otkrili da je iznimno popularna Pokémon GO igra tražila "punu dozvolu za pristup korisničkom Google računu", njezini proizvođači Niantic Labs ispričali su se, te su u utorak objavili novu verziju aplikacije koja pokazuje "fiksni opseg Google računa". "Nakon što smo postali svjesni ove pogreške, počeli smo ...
Facebook "View As" značajka Left Open Masivni sigurnosni propust
Facebook je u petak objavio da je oko 30 milijuna računa kompromitirano od strane hakera ili grupe hakera. Ova najnovija sigurnosna provala omogućila je napadačima da prikupljaju podatke o profilu korisnika - kao što su njihovo ime, spol i rodni grad - i preuzmu utjecajne račune.