Một ngân hàng lớn của Ấn Độ với hơn 3000 chi nhánh trong nước và 8 chi nhánh và văn phòng ở nước ngoài. Lợi nhuận ròng của ngân hàng này trong quý kết thúc vào ngày 30 tháng 6 năm 2014 là 272 Rs crore. Việc kinh doanh chạm Rs 420.739 crore (tăng trưởng theo năm 8.16%) cho quý kết thúc vào ngày 30 tháng 9 năm 2014. Ứng dụng Android của ngân hàng có 50.000 1, 00.000 lượt tải xuống trên Google Play. Appvigil, một máy quét bảo mật ứng dụng android dựa trên đám mây đã phát hiện ra một lỗ hổng chèn JavaScript còn được gọi là lỗ hổng đa mã hoặc XSS trong ứng dụng ngân hàng.
Báo cáo đã liệt kê rõ ràng tất cả các lỗ hổng cùng với các hoạt động mà chúng hiện diện. Dựa trên cơ sở đó, AppVigil đã quyết định thực hiện một thử nghiệm nhỏ trên ứng dụng Android của một số ngân hàng hàng đầu của Ấn Độ. Họ khởi chạy ứng dụng trong môi trường cục bộ giả lập, truy cập WebView của ứng dụng và thực thi một số mã JavaScript trong WebView đã thay đổi động trang ‘Giới thiệu về chúng tôi’ thành trang Đăng nhập. Sau đó, tên người dùng và mật khẩu đã được đăng nhập có thể truy cập từ bên ngoài ứng dụng android.
Lỗ hổng này sẽ trở nên thực sự nguy hiểm đối với người dùng ứng dụng Android của ngân hàng nếu một phần mềm độc hại được phép hoàn toàn thực hiện cuộc tấn công này vào ứng dụng trong cùng một thiết bị và đánh cắp tên người dùng và mật khẩu netbanking của người dùng.
Về lỗ hổng bảo mật
- Các sửa đổi HTML cục bộ thông qua phần mềm độc hại hoặc các ứng dụng khác dẫn đến việc thực thi JavaScript độc hại trong lớp trình bày của ứng dụng. Điều này có thể dẫn đến việc đánh cắp thông tin. Cần xác minh rằng hỗ trợ JavaScript và Plugin đã bị tắt đối với bất kỳ WebView nào (thường là mặc định). Cần phải đảm bảo rằng tất cả các lệnh gọi UIWebView sẽ không được thực thi nếu không có xác thực đầu vào thích hợp. Áp dụng bộ lọc cho các ký tự JavaScript nguy hiểm nếu có thể, sử dụng danh sách trắng thay vì chính sách ký tự trong danh sách đen trước khi hiển thị.
Trong môi trường phát triển nhanh ngày nay, khoảng 70-80 phần trăm tất cả các ứng dụng Android đều có thể bị hack, vì các nhà phát triển tập trung nhiều hơn vào năng suất và sự đổi mới, đẩy mối lo ngại về bảo mật của họ vào hậu trường. Với số lượng thông tin mà các ứng dụng android yêu cầu và tiêu thụ, điều hợp lý là các ứng dụng này xuất hiện như một mục tiêu béo bở và hấp dẫn cho các hacker. Đây là lúc Appvigil xuất hiện.
Appvigil cung cấp một khung kiểm tra tự động cho các nhà phát triển Android để quét và kiểm tra các ứng dụng Android của họ chống lại các lỗ hổng bảo mật hiện đại. Các nhà phát triển có thể sử dụng Appvigil để quét các tệp thực thi ứng dụng của họ để có một báo cáo chi tiết chứa loại lỗ hổng, vị trí chính xác của mối quan tâm bảo mật trong ứng dụng và tài liệu tham khảo / hướng dẫn vá các vấn đề bảo mật trong ứng dụng Android của họ.
. .
…
