PSA: Обнаружена уязвимость безопасности, срочно обновите приложения Experian и myFICO Mobile для iOS

Если вы не используете функцию автоматического обновления iOS, обязательно загрузите последние обновления для Experian – Free Credit Report и myFICO Mobile. Уязвимость безопасности, обнаруженная Verify.ly, показывает, что злоумышленники могли перехватывать учетные данные пользователей в старых версиях клиентов. После раскрытия уязвимостей обеим компаниям, кажется, что лазейки в безопасности были должным образом устранены.

Приложения Experian — Free Credit Report и myFICO Mobile — это финансовые приложения, разработанные для информирования пользователей об их кредитных отчетах и ​​данных. Отслеживание вашего кредитного отчета может помочь выявить кражу личных данных, недействительные негативные записи и увидеть общее влияние платежей по долгам на кредитный рейтинг. По данным Apptopia, за последние 180 дней приложение Experian показывает около 270 000 загрузок, а myFICO — около 39 000.

Уилл Страфач, основатель Verify.ly, связался со мной месяц назад, указав, что Verify.ly обнаружила уязвимость в двух известных финансовых приложениях. Приложения Experian и myFICO не использовали надлежащие методы аутентификации при подключении к своим сервисам, что позволяло злоумышленникам перехватывать учетные данные пользователя. Начиная с последних обновлений, как Experian – Free Credit Report, так и myFICO Mobile были обновлены для устранения этих очевидных лазеек в безопасности.

Если вдаваться в подробности, оба приложения использовали неполные реализации TLS. TLS, протокол безопасности, обеспечивающий шифрование данных при обмене данными с сервисами через Интернет, не был должным образом реализован в приложениях, как это должно было быть. В надлежащим образом сконфигурированной среде реализация TLS гарантировала бы, что учетные данные пользователя и данные передаются через Интернет в зашифрованном и безопасном виде, так что они не могли быть прочитаны вредоносным злоумышленником.

Частью протокола TLS является то, что клиент, в данном случае приложения для iOS, гарантирует, что полученный от веб-сервиса сертификат действителен и принадлежит тому, кому он должен принадлежать. Ни приложения Experian, ни myFICO не подтверждали действительность сертификата, что позволяло принимать недействительные сертификаты, когда этого не следовало делать. Принимая эти недействительные сертификаты, приложения Experian и myFICO открывали двери для уязвимости, при которой злоумышленник мог получить учетные данные пользователя при подключении к вредоносной сети. Есть явная ирония в том, что эти два приложения используются для обнаружения мошенничества в кредитной истории, но при этом сами были открыты для мошеннических действий.

Получив уведомление от Страфача относительно уязвимостей в обоих приложениях, я самостоятельно протестировал каждое приложение и подтвердил их. Используя Charles Proxy в частной домашней сети, я смог подтвердить, что оба приложения принимали недействительные сертификаты. При этом учетные данные, введенные в приложение, были мне видны во время тестирования.

Проблема в подобных ситуациях заключается в том, что вы могли уже быть уязвимы для атаки и даже не знать об этом. В реальном сценарии злоумышленник мог бы обманом заставить пользователей подключиться к своим устройствам, используя изощренные методы, такие как ARP-спуфинг, принудительное отключение от вашей собственной сети и перенаправление на свою, или просто используя привлекательные названия сетей, такие как «FREE AirPort Wi-Fi». Как только пользователи подключатся к сети, их учетные данные станут доступны злоумышленнику. Когда пользователи в этих сетях начнут входить в свои приложения, учетные данные будут передаваться по сети незашифрованными, что позволит злоумышленникам получить видимый доступ к имени пользователя и паролю. Эти данные затем могут быть использованы различными способами для попытки получить доступ к другим онлайн-аккаунтам.

Уилл Страфач и я самостоятельно связались с Experian и myFICO Mobile, чтобы сообщить об уязвимости. Страфачу представители Experian сообщили, что их команда по информационной безопасности не принимает никаких внешних звонков, ни при каких обстоятельствах. После дальнейшего обсуждения с оператором она передала ему, что больше ничего сделать не может. Мой ответ Experian был несколько более общим, указывая, что их приложения «прошли тщательное тестирование безопасности перед выпуском, и мы постоянно совершенствуем меры безопасности с каждым выпуском, чтобы обеспечить безопасность данных пользователя».

Experian очень серьезно относится к информационной безопасности. Наши мобильные приложения прошли тщательное тестирование безопасности перед выпуском, и мы постоянно совершенствуем меры безопасности с каждым выпуском, чтобы обеспечить безопасность данных пользователя. Относительно проблем с TLS мы планируем отказаться от старых версий в самом ближайшем будущем, задолго до дат, указанных как Apple, так и Советом по стандартам безопасности индустрии платежных карт (PCI SSC).

— Заявление от Experian

При обращении в команду myFICO они были немного более отзывчивы к ситуации. И Страфачу, и мне было предложено отправить письмо команде отдельно, к сожалению, я получил только следующее автоматическое сообщение от их почтового сервера: «Почтовый ящик получателя переполнен и в настоящее время не может принимать сообщения. Пожалуйста, повторите попытку отправки сообщения позже или свяжитесь с получателем напрямую».

На сегодняшний день уязвимости обоих приложений устранены. Загрузите обновления в App Store для Experian — Free Credit Report и myFICO Mobile как можно скорее и убедитесь, что у вас установлены последние сборки iOS.

Если вы *использовали* какие-либо из старых версий приложений, мы рекомендуем сменить пароли ваших учетных записей, а также любых других аккаунтов с теми же учетными данными. Для дополнительной безопасности рассмотрите возможность использования менеджера паролей, такого как LastPass или 1Password.