首页
据报道移动银行应用程序泄露了数千个数字指纹
返回

据报道移动银行应用程序泄露了数千个数字指纹

2022-12-18 科技信息 By:佚名
最佳答案一份报告称,使用相同的第三方基于人工智能的数字身份SDK的五个未命名的移动银行应用程序可能泄露了超过30万个生物特征数字指纹(在新标签中打开)赛门铁克的研究人员。据研究人员称,外包应用程序的数字身份和身份验证组件是一种常见的开发模式,因为提供不同形式的身份验证的复杂性对于应用程序开发...

一份报告称,使用相同的第三方基于人工智能的数字身份SDK的五个未命名的移动银行应用程序可能泄露了超过30万个生物特征数字指纹(在新标签中打开)赛门铁克的研究人员。

据研究人员称,外包应用程序的数字身份和身份验证组件是一种常见的开发模式,因为提供不同形式的身份验证的复杂性对于应用程序开发人员来说可能具有挑战性。

但在这种情况下,该方法严重失败,嵌入在银行应用程序SDK中的是AmazonWebServices(AWS)云凭证,据称可以使用SDK公开属于“每个银行和金融应用程序”的私有身份验证数据和密钥。

此外,使用易受攻击的SDK,研究人员能够找到用于在云中进行身份验证的用户生物特征数字指纹,以及姓名和出生日期等个人数据。

更重要的是,如果要相信Synametic的说法,研究人员显然也能够挖掘出用于整个底层操作的API源代码和AI模型。

但这个问题比五个银行应用程序更深。

研究人员表示,包括Android和iOS在内的超过1,859个公开可用的应用程序中包含AWS凭证。

尽管Android开发者并非完全没有责任,但研究发现,这些易受攻击的应用程序中有97%以上是基于iOS的。

在这些应用程序中,超过四分之三(77%)包含有效的AWS访问令牌,允许访问私有AWS云服务,47%包含有效的AWS令牌,这些令牌还允许通过亚马逊简单存储服务(AmazonS3)。

我怎样才能防止这种情况?

研究人员确实提供了一些关于如何缓解这些类型漏洞的提示。

其中包括在应用程序开发生命周期中添加安全扫描解决方案,如果使用外包提供商,则要求和审查移动应用程序“报告卡”,他们说这可以识别移动应用程序的每个版本的任何不需要的应用程序行为或漏洞。

作为应用程序开发人员,研究人员建议寻找一份报告卡,该报告卡既能扫描应用程序中的SDK和框架,又能识别任何漏洞或不良行为的来源。

猜你喜欢
三从四德是指的哪个生肖(三从四德指的是什么生肖)

三从四德是指的哪个生肖(三从四德指的是什么生肖)

12-18 0 阅读
竹筒饭是哪个民族的饮食(竹筒饭是哪个民族)

竹筒饭是哪个民族的饮食(竹筒饭是哪个民族)

12-18 0 阅读
对开卧室门尺寸(卧室门尺寸)

对开卧室门尺寸(卧室门尺寸)

12-18 0 阅读
大黄蜂报价(大黄蜂雪佛兰科迈罗camaro报价)

大黄蜂报价(大黄蜂雪佛兰科迈罗camaro报价)

12-19 0 阅读
路非的全部小说作品下载(路非的全部小说)

路非的全部小说作品下载(路非的全部小说)

12-18 0 阅读
空调如何加氟视频(空调如何加氟)

空调如何加氟视频(空调如何加氟)

12-18 0 阅读
热门推荐
cd机什么牌子好知乎(cd机什么牌子好)

cd机什么牌子好知乎(cd机什么牌子好)

12-19 0 阅读
商品经济的矛盾包括()(商品经济的矛盾)

商品经济的矛盾包括()(商品经济的矛盾)

12-18 0 阅读
人口自然增长率怎么算?(人口自然增长率怎么算)

人口自然增长率怎么算?(人口自然增长率怎么算)

12-19 0 阅读
a.o.史密斯品牌(A.O.史密斯品牌介绍)

a.o.史密斯品牌(A.O.史密斯品牌介绍)

12-18 0 阅读
练车房(关于练车房的介绍)

练车房(关于练车房的介绍)

12-18 0 阅读
手持终端机怎么刷机(手持终端机)

手持终端机怎么刷机(手持终端机)

12-18 0 阅读
大学生如何建设美丽中国论文(大学生如何建设美丽中国)

大学生如何建设美丽中国论文(大学生如何建设美丽中国)

12-18 0 阅读
lenovo(a278t(lenovo及a278t手机))

lenovo(a278t(lenovo及a278t手机))

12-18 0 阅读
葱郁的反义词是什么近义词是什么(葱郁的反义词是什么)

葱郁的反义词是什么近义词是什么(葱郁的反义词是什么)

12-18 0 阅读
如何直接清理电脑中磁盘(如何通过命令提示符清理电脑磁盘)

如何直接清理电脑中磁盘(如何通过命令提示符清理电脑磁盘)

12-18 0 阅读