著者/所属機関
Sen Chen (East China Normal University) et al.
出典
ESEC/FSE 2018
目的
金融機関が提供するモバイルアプリにおけるセキュリティ対策状況や,セキュリティ報告に対する応対を調査
Methodology
- 80カ国,693個のMobile Banking Appに,著者らが開発したセキュリティ検査ツールAUSERAを適用
- 2157個の脆弱性を検出
- 66個のアプリ,335の脆弱性を金融機関に報告し,その後の修正対応を追跡調査
Resarch Question & 結果
RQ1: 金融期間による修正対応が効果的に進められているか?
- 10のアプリ(金融機関)からのみ反応あり
- 金融機関側が十分に内容を理解できず,一部の金融機関とはOnline meetingを行った
- 18のアプリ(金融機関)にて,52/126個の脆弱性は修正された
- 修正には兵器75日を要した
- 11のアプリ(金融機関)は著者らに返信なく(黙って)修正を実施した
- ただし修正後,新たに5つの脆弱性が増えていた
RQ2: 金融機関が関心のある脆弱性を,既存ツールが発見できるか?
- 既存ツールではfalse-positiveが多く,判別に時間を要する
- 同じ脆弱性であっても,アプリのコンテキストが異なると見逃すケースが有る
RQ3: 金融機関ごとに脆弱性やその重要度に対する認識の違いはあるか?
- MD5やSHA1を使っているアプリもあり,金融機関ごとにセキュリティに対する認識が異なる
- また研究者との認識の隔たりが大きい
- あるアプリではユーザ名やパスワードをXMLでファイルで保存しており,malicious appに情報を取られる可能性あり
- しかし金融機関側はmalicious appを入れてしまうユーザが悪いという回答をした
Tagged: #security