Veszélyes iPhone alkalmazás

Az Egyesült Államokban egyre nagyobb teret hódít a mobil bankolás. Red Gillen, a Celent cég elemzője elmondta, hogy becsléseik szerint az USA-ban jelenleg legalább 18 millióan élnek a mobil bankolás lehetőségeivel. A Bank of America megközelítőleg 5 millió olyan ügyféllel rendelkezik, akik mobil szolgáltatásokat is igénybe vesznek. Ezzel a bank ebből a szempontból is vezető szerepet tölt be az Egyesült Államokban. A képzeletbeli toplista ötödik helyét a Citibank foglalja el, amely körülbelül 800 ezer "mobil ügyfelet" szolgál ki. A pénzintézet természetesen az iPhone használatát is támogatja a különféle tranzakciók lebonyolításához, azonban a napokban kiderült, hogy az alkalmazásába egy biztonsági hiba csúszott.

A Citigroup a Wall Street Journal cikkében elismerte, hogy a US Citi Mobile iPhone alkalmazás egy sérülékenységet tartalmaz, aminek következtében bizalmas adatok kerülhetnek veszélybe. A problémát az okozza, hogy a szoftver egyes esetekben a telefonokon egy fájlba eltárol bizonyos információkat, amelyek egy szinkronizálást követően akár számítógépekre is átkerülhetnek. Ebben az állományban számlaszámok, tranzakciók adatai valamint különféle biztonsági kódok is megtalálhatóak lehetnek. Ezért, ha ez a fájl rossz kezekbe kerül, akkor az adatbiztonsági kockázatot jelent.

A banki tranzakciók és utalások végrehajtására valamint az egyenlegek lekérdezésére alkalmas Citi Mobile alkalmazás az Apple App Store felhasználóinak körében igencsak népszerűvé vált. A 2009 márciusi kiadása óta több mint 117 ezren töltötték le a szoftvert, és ezzel a pénzügyi kategóriában meglehetősen előkelő helyre került. A pénzintézet az alkalmazásban rejlő biztonsági hibát egy rutinellenőrzés során vette észre, azonban az még nem tisztázott, hogy korábban miért nem derült fény a sebezhetőségre. Pedig a bank állítja, hogy minden egyes verzió kiadása előtt és után is tesztelte a Citi Mobile-t.

A bank a sérülékeny alkalmazás felhasználóit értesítette a történtekről, és arra kérte őket, hogy mihamarabb frissítsék a szoftvert, mert a legújabb kiadás már nem tartalmazza a sérülékenységet. Emellett a legutóbbi verzió arra is képes, hogy az esetlegesen korábban keletkező, bizalmas adatokat tartalmazó, nemkívánatos fájlokat eltávolítsa, és ezzel elejét vegye a további problémáknak. A pénzintézet jelezte, hogy nincs arról tudomása, hogy az iPhone alkalmazás miatt ügyfeladatok kerültek volna illetéktelen kezekbe.

Charlie Miller biztonsági kutató - aki többek között az iPhone készülékek sérülékenységeinek feltárásával tölti a mindennapjait - elmondta, hogy a Citi Mobile biztonsági rését távolról nem könnyű kihasználni. Azonban amennyiben egy ilyen készülék egy támadó kezébe kerül, akkor már könnyebben juthat hozzá a bizalmas adatokhoz.

A Citigroup a Citi Mobile alkalmazását az mFoundry céggel közösen fejlesztette ki. Az mFoundry a Citigroup mellett több mint 150 pénzintézet számára készít mobilbiztonsági szoftvereket. A vállalat szerint más bankok esetében nincs olyan probléma, mint ami a Citi Mobile kapcsán felmerült.

A cikk a Computerworld biztonság rovatában jelent meg.