网络安全公司 IOActive 研究人员 Alejandro Hernández 近期通过测试 Google 应用商店和苹果商店中最常用的 21 款移动证券交易应用程序后发现多处安全漏洞，可导致泄露用户密码及其财务信息。

研究员 Hernández 通过分析了 21 款应用程序的生物识别身份验证、隐私模式、锁定时间、加密技术、root 检测、社交媒体风险等功能后发现有 4 款应用以明文形式暴露用户密码，这意味着能够物理访问设备的攻击者可以轻松登录交易账号并窃取资金。此外，近 2/3 的应用程序将敏感数据发送到日志文件，允许具备物理访问权限的攻击者了解用户的净值、投资策略与账户余额。

图1：IOActive 针对 21 款应用的评分审计结果

据悉，上述应用程序中有 2 款使用了未加密的 HTTP 通道传输与接收数据；13 款应用虽然使用了加密的 HTTPS 通道，但不会通过验证其 SSL 证书检查远程节点。如果用户使用公共 Wi-Fi 热点而未采取防御措施时，这两处漏洞都将使不法分子利用 “中间人（MitM）” 攻击窃听与篡改重要数据。

图2：测试应用程序中存在 Cleartext 密码问题

IOActive 表示，他们在其研究完成后立即通知了此类应用程序的开发人员。由于事件仍在处理当中，IOActive 决定暂不公开测试应用名称。此外，为更好的保障用户交易环境，公司鼓励监管机构提高平台安全态势。

文章来源：hackernews 原文地址：http://hackernews.cc/archives/1519