דיווח: נתגלו חורי אבטחה ביישומי סלולר בנקאיים
חברת הנתונים המשפטיים הדיגיטליים viaForensics דיווחה, כי גילתה את החורים במערכת ההפעלה אנדרואיד וביישומי iPhone של פיי-פאל, בנק אוף אמריקה, צ'ייס, וולס פארגו ועוד ● היישומים עלולים לאפשר לפורצים גישה לנתונים בנקאיים ● מפיי-פאל נמסר, כי היא תיקנה את הפירצה שנתגלתה והחליפה את היישום בחנות של אפל בגרסה מעודכנת
יישומים בנקאיים לטלפונים חכמים של בנק אוף אמריקה (Bank Of America), צ'ייס (Chase), פיי-פאל (PayPal), וולס-פארגו (Wallace Fargo) ועוד מכילים באגים שפורצים יכולים לנצל כדי לגנוב מידע בנקאי פרטי של משתמשים – כך עולה מאזהרת אבטחה שפרסמה בסוף השבוע חברת הנתונים המשפטיים הדיגיטליים viaForensics.
"מצאנו כמות מפתיעה וגוברת של מידע רגיש ביותר, כספי ואישי, בטלפונים חכמים", אמר אנדרו הוג, מנהל המידע הראשי של החברה. "המידע הזה, שנמצא הן במכשירי iPhone והן במכשירי אנדרואיד (Android), עשוי להועיל מאוד לפושעי רשת וגנבי זהויות". לדבריו, "בעוד שהגישה של אפל (Apple) וגוגל (Google) לאישור יישומים ובחינתם שונה, אף אחת מהגישות הללו בעצם לא הצליחה למנוע התקנה של יישומים לא מאובטחים".
הוג הוסיף, כי viaForensics החלה אתמול (א') במגעים עם המוסדות הבנקאיים כדי להסדיר ולהעלים את חורי האבטחה, וכי ההודעה על הפגיעויות נכונה ליום ד' האחרון. "מאז, כמה מהמוסדות כבר שחררו גרסאות חדשות ויפרסמו עדכונים נוספים בקרוב", ציין.
הפגיעויות העיקריות שנמצאו כוללות כמה יישומים שאינם מצליחים לאמת אישורי אבטחה, ובכך מותירים את היישומים פגיעים לתקיפות של האקרים. תקיפות מסוג זה יכולות לגלות "שם משתמש, סיסמה ונתוני חשבונות", אמר הוג. יישומים מסוימים נכשלו בהצפנת ססמאות, שנחשפו כמו שהן, כטקסט פשוט, ואחרים "שמרו נתונים בטלפון בצורה לא נכונה, ובכך אפשרו שחזור של כל המידע הכספי שנצפה ביישום".
אחד הארגונים שהגיב מיד בתיקון היישום הסלולרי הוא פיי-פאל, שנמצא בבעלות אי-ביי (eBay). כבר בסוף השבוע אמרה אמנדה פירס, דוברת פיי-פאל, כי החברה החליפה את היישום בחנות היישומים של אפל בגרסה מעודכנת, וכי לא נמצאה כל עדות לכך שפורצים ניצלו את הפגיעויות. "למיטב ידיעתי, הפגיעויות לא השפיעו על איש", ציינה. לדבריה, פיי-פאל תפצה כל לקוח שאיבד כסף כתוצאה מהפגיעויות.
עד כה הורד היישום הלקוי של פיי-פאל ארבעה מיליון פעמים, והחברה הודיעה שהיא צופה שהיקף הפעילות הכספית באמצעות היישומים הסלולריים שלה יגיע עד סוף השנה ל-700 מיליון דולרים.
תגובות
(0)