Vietnamesische Banking-Apps nutzen heimlich private iOS-APIs zur Benutzerüberwachung
Zwei beliebte vietnamesische Banking-Apps, BIDV SmartBanking und Agribank Plus, wurden dabei ertappt, wie sie versteckte private iOS-APIs verwenden, um andere auf den iPhones der Benutzer installierte Apps zu erkennen. Sicherheitsforscher fanden heraus, dass die von VNPay entwickelten Apps eine kommerzielle mobile App-Schutzsoftware und einen selbstentwickelten Code namens "VNPay Runtime Protection" verwenden. Dieser Code nutzt eine Side-Channel-Schwachstelle in einer privaten iOS-API, um Apps zu identifizieren, und verwendet eine schwache XOR-Verschlüsselung, um API-Strings zu verbergen. Dies verstößt gegen die Richtlinien des Apple App Store und birgt das Risiko der App-Entfernung, wodurch Millionen von Benutzern betroffen wären. Der Vorfall hat keinen Zusammenhang mit der mobilen Sicherheitslösung BShield.
Mehr lesen