2017年12月7日(米国時間)、Threatpostに掲載された記事「Banking Apps Found Vulnerable to MITM Attacks|Threatpost|The first stop for security news」が、研究者らによってAndroidおよびiOSのいくつかの銀行系モバイルアプリなどに中間者攻撃(Man-In-The-Middle; MITM)を受けるセキュリティ脆弱性が存在すると伝えた。このセキュリティ脆弱性を利用されると顧客の個人情報を窃取されたりネットワークトラフィックを操作される危険性があるとされている。
このセキュリティ脆弱性はバーミンガム大学の研究者らが発見したとしており、詳細は「Spinner: Semi-Automatic Detection of Pinning without Hostname Verification (PDF)」にまとまっている。特に9個のアプリに脆弱性が見つかったとしている。
-
Figure 5: Apps in our test set that pinned but lacked hostname verification|Spinner: Semi-Automatic Detection of Pinning without Hostname Verification
脆弱性が発見されたアプリとしてBank of America、HSBC、Meezan Bank、Smile Bank、TunnelBear VPNなどのアプリがあげられている。発見されたセキュリティ脆弱性はすでにベンダに通知されており、対策は実施済みだと説明がある。
Rustで有名アルゴリズムに挑戦 第17回 RustでHTTPサーバを実装してみよう