白帽黑客利用逆向工程对金融应用程序进行测试,并找到了许多安全问题,其中83%的应用程序存在不安全的存储问题。并 发现隐藏在应用程序底层代码中的敏感数据。研究人员表示,利用这些信息,黑客可以恢复应用程序编程接口(API)密钥并使用它们来攻击供应商的后端服务器。
Aite Group的高级网络安全分析师Alissa Knight说:
许多调查结果令人震惊,我甚至发现一些金融机构正在硬编码私钥,API密钥和私有证书 – 所有这些都在实际代码中或存储在应用程序的子目录中。”在其他情况下,Knight说,她发现应用程序使用的URL与之通信,这将允许对手也可以定位后端服务器的API。
主要调查结果包括所有测试的Android应用程序中有97%缺乏二进制代码保护。 “这使得逆向工程或反编译应用成为可能; 根据计划于周二发布的报告,将源代码暴露给分析和篡改。
83%被测程序有漏洞
“如果应用程序开发人员实现了应用程序屏蔽和其他安全性,例如应用程序绑定,重新打包检测和篡改检测,静态数据加密和密钥保护,那么找到这些漏洞几乎是不可能的。”
逆向工程软件长期以来一直是黑帽和黑帽黑客使用的技术。 上个月在旧金山举行的RSA会议上,美国国家安全局发布了其Ghidra逆向工程平台。
对于白帽子,像Ghidra这样的工具扮演着至关重要的角色,帮助他们对恶意软件进行逆向工程,帮助他们了解恶意软件是如何工作的,它做了什么,并揭示了谁写了它或者它来自哪里的线索。 黑帽子可以从代码中收集类似的数据,并将其用作攻击的黑客跳板。
Knight表示,她对30个样本应用程序的逆向工程工作表明,83%的应用程序在应用程序控件之外测试了不安全的存储数据。另外,70%的应用程序使用不安全的随机数生成器 。
参考链接:https://threatpost.com/financial-apps-are-ripe-for-exploit-via-reverse-engineering/143348/