一家安全公司今天披露了一个来自于美国银行、美国保险公司、摩根大通银行、富国银行以及宏达理财的移动应用程序漏洞,该机构敦促这些公司更新他们的应用程序以避免该漏洞的威胁。
安全研究机构viaForensics在其网站上的公告上表示,“从星期一开始(11/01/2010),我们一直试图和金融机构沟通卸掉,以解决这个漏洞。调查结果公布在我们11月3日发布的报告上,在此之后,我们又更新的调查的结果,不久之后,我们将会发布更新版本的调查报告。”
该机构在美国当地时间11月4日上午向华尔街日报报告了结果。就在前一天,viaForensics和PayPal以及苹果的应用程序商店进行了沟通,以降低这个漏洞的潜在风险。
根据报告显示,具体而言,viaForensics得出的结论是:美国保险公司的Andriod应用程序商店会在用户的手机上存储一个副本,美国贸易集团的iPhone和Andriod应用程序会在手机上存储明文纯文本的用户名信息,富国银行的Andriod应用程序会储存用户名和密码,并且会在手机上用纯文本保留帐户信息,美国银行的Andriod应用程序会保存纯文本信息在他们认为安全的手机上,而摩根大通的iPhone应用程序存在选项,用户可以选择是否在手机上保存用户信息。
与此同时,美国保险公司、美国银行、富国银行和先锋的iPhone应用程序以及PayPal的Andriod应用程序都通过了安全认证,被认为在处理数据上是安全的。
作为这个报告结果的回应,富国银行11月4日更新了他们的Andriod应用程序,美国保险公司在11月5日也更新了他们的Andriod应用程序,而美国贸易集团将会在其应用程序的下一个版本中修复该漏洞。
来自金融机构的新闻发言人告诉几家媒体的记者,只要保障到位,这个漏洞的存在一般情况下并不会直接危害到用户,因为攻击者访问帐户一般需要用户名和密码。
11月5日上午,viaForensics的首席调查官又做出了一份声明:“我们的测试能够尽可能详尽的解析一款产品的安全弱点,但是我们看到了一个不幸的结果,尤其是在你使用手机登录金融网站的时候,对于移动服务提供商,保护用户的安全没有捷径可循,只有不断的做好安全工作,并且在程序设计的一开始就加以重视。”