Le app bancarie di iOS fanno acqua da tutte le parti

17 Gen 2014

Varie applicazioni bancarie per iOS piuttosto diffuse appartenenti a entità bancarie famose in tutto il mondo contengono bug che espongono gli utenti al furto di dati e alla violazione dei propri account. In particolare, un hacker esperto potrebbe potenzialmente controllare gli utenti mediante attacchi man-in-the-middle, impossessarsi degli account attraverso l’hijacking e causare problemi di corruzione di memoria che potrebbero mandare in crash il sistema e consentire la diffusione d’informazioni personali.

bank

Ariel Sanchez, un ricercatore argentino che lavora per l’azienda di sicurezza IOActive, ha condotto una serie di test su 40 app mobile bancarie appartenenti alle 60 banche più importanti del mondo e ha analizzato i meccanismi di trasferimento dati delle app, delle interfacce utente, dei processi d’immagazzinamento dati ed altri processi più complessi, come i compilatori e i processi binari.

Sanchez ha riscontrato una serie di vulnerabilità che potrebbero essere sfruttate dagli hacker.

“Qualcuno con le giuste conoscenze potrebbe utilizzare queste informazioni per individuare potenziali bug e, dopo alcune ricerche, sviluppare un exploit o un malware in grado di violare la sicurezza degli utenti che utilizzano questi servizi bancari”, ha affermato Sanchez. “Si tratta del primo passo verso una potenziale minaccia alla sicurezza”.

IOActive assicura di aver informato le varie entità bancarie circa tali vulnerabilità, ma Sanchez ha affermato che, ad oggi, nessuna banca sembra aver risolto i bug individuati.

Questa vulnerabilità potrebbe essere sfruttata per ottenere accesso all’infrastruttura di sviluppo della banca e infettare l’applicazione con un malware, causando un’infezione a macchia d’olio tra tutti gli utenti dell’applicazione

Sanchez ha anche dichiarato che il problema più preoccupante è stato riscontrato durante l’analisi statica del codice binario di ogni applicazione. Il problema riguarda  il numero di credenziali cablate a codice (hardcoding) nascoste nei codici binari. In sostanza, una serie di applicazioni bancarie vulnerabili contengono diverse master key distinguibili. Queste sono state create per dare agli sviluppatori accesso alle applicazioni delle infrastrutture di sviluppo. Sfortunatamente, le credenziali cablate a codice possono anche dare agli hacker lo stesso livello di accesso.

“Questa vulnerabilità potrebbe essere sfruttata per ottenere accesso all’infrastruttura di sviluppo della banca e infettare l’applicazione con un malware, causando un’infezione a macchia d’olio tra tutti gli utenti dell’applicazione” ha spiegato Sanchez.

Parte del problema è dovuto al fatto che alcune applicazioni inviano link non criptati agli utenti e/o non riescono a validare adeguatamente i certificati SSL quando le informazioni vengono criptate. Questo comportamento, che Sanchez attribuisce a una semplice svista da parte degli sviluppatori, mette a serio repentaglio i clienti e li espone agli attacchi man-in-the-middle, quelli  in cui un hacker inietta codici javascript o HTML come parte di una scam di phishing.

Tutti i meccanismi scoperti da Sanchez sono aggravati dal fatto che il 70% delle banche analizzate non sono riuscite a implementare la doppia autenticazione.

“Basta avere il codice binario della app, uno strumento per decifrare il codice e un altro per smantellarlo” ha dichiarato Sanchez. “Sono molte le ricerche dove viene descritto come decifrare e smontare il codice di queste app. Chiunque, anche qualcuno con poca esperienza, può farlo”.

IOActive è responsabile della diffusione della notizia, sia nel buono che nel cattivo senso (ma soprattutto nel buono). Il lato positivo è che non ha indicato i nomi delle banche interessate dal problema, né pubblicato specifiche vulnerabilità che potrebbero dare agli hacker  le informazioni necessarie per attaccare gli account degli utenti. Il lato negativo riguarda il fatto che non sappiamo quali banche e app sono vulnerabili e quindi non sappiamo di chi ci dobbiamo fidare.

Probabilmente la cosa più cauta da fare sarebbe smettere di utilizzare app bancarie mobili fino a che questi fatti non vengano confermati e risolti. Ad ogni modo, molti di noi non lo faranno. Nel frattempo, è bene impostare l’autenticazione a doppio fattore, se la vostra banca mette a disposizione il servizio. In caso contrario, fate attenzione ai link che visualizzate nella vostra app, guardatevi dai messaggi di phishing e tenete d’occhio il vostro conto in banc