安全漏洞使主要银行应用容易受到通过SSL的MiTM攻击

这个漏洞是由伯明翰大学的安全和隐私组织的研究人员发现的，他们测试了数百种不同的银行应用软件（8212），iOS和安卓，并发现其中一些人受到了一个共同问题的影响，使得他们的用户容易受到中间人攻击。

受影响的银行应用程序包括汇丰银行（HSBC）、纳特韦斯特银行（NatWest）、合作银行（Co-op）、桑坦德银行（Santander）和爱尔兰联合银行（Allied Irish bank），在研究人员报告该问题后，这些应用程序已被更新。

根据研究人员发表的一篇研究论文[PDF]，易受攻击的应用程序可能会让与受害者连接到同一网络的攻击者拦截SSL连接并检索用户的银行凭证，如用户名和密码/密码—；即使应用程序使用SSL锁定功能。
SSL固定是一种安全功能，通过在列出的主机和设备之间启用额外的信任层来防止中间人（MITM）攻击。

在实施时，SSL锁定有助于消除基于网络的攻击，其中攻击者可能试图使用流氓证书颁发机构颁发的有效证书。

研究人员在论文中写道：“如果一个CA存在恶意行为或遭到破坏，那么任何域的有效证书都可能被生成，从而允许攻击者在所有信任该CA证书的应用程序中充当中间人”。

然而，验证SSL连接有两个关键部分，第一个（身份验证）是验证证书是否来自可信来源，第二个（授权）是确保您连接的服务器提供正确的证书。

研究人员发现，由于缺乏主机名验证，一些银行应用程序没有检查它们是否连接到可信来源。

验证主机名可确保银行应用程序连接的URL中的主机名与服务器作为SSL连接的一部分发回的数字证书中的主机名匹配。

论文写道：“TLS错误配置漏洞显然很常见；然而，现有的框架都不会检测到客户机锁定了根证书或中间证书，但无法检查叶中的主机名”。

除了这个问题，研究人员还详细介绍了应用内钓鱼攻击“影响桑坦德银行和爱尔兰联合银行，这可能会让攻击者在应用程序运行时劫持受害者的部分屏幕，并用它来钓鱼受害者的登录凭据。
为了在数百个银行应用程序中快速测试该漏洞，而无需购买证书，研究人员创建了一个新的自动化工具，称为Spinner。
Spinner利用Censys IoT搜索引擎查找仅在叶证书中不同的备用主机的证书链。

研究人员说：“给定目标域的证书，该工具会查询仅在叶证书中不同的备用主机的证书链。然后，该工具会将流量从测试中的应用重定向到一个网站，该网站的证书由相同的CA证书签署，但当然是不同的主机名（公共名称）”解释。

“如果连接在建立阶段失败，则我们知道应用程序检测到错误的主机名。然而，如果连接已建立，并且在连接失败之前客户端传输了加密的应用程序数据，则我们知道应用程序已接受主机名，并且易受攻击”。

Chris McMahon Stone、Tom Chothia和Flavio D.Garcia三人与国家网络安全中心（NCSC）合作，通知了所有受影响的银行，这些银行在本周公开披露研究结果之前解决了问题。