Специалисты IBM обнаружили кросс-платформенную уязвимость в инфраструктуре Apache Cordova

image

Теги: уязвимость, IBM, Apache

Банковские мобильные приложения для Android оказались уязвимыми для хакеров, которые используют уязвимость кросс-платформенного скриптинга (CAS) для хищения денежных средств с банковских счетов.

Специалисты IBM обнаружили кросс-платформенную  уязвимость  в инфраструктуре Apache Cordova. Как говорят исследователи, теперь хакеры могут похитить учетные и другие конфиденциальные данные с одного из десяти банковских мобильных приложений для Android. Также, опасности подвергается около 6% всех приложений, созданных с помощью этой среды разработки.

По словам специалистов, уязвимость кросс-платформенного скриптинга позволяет злоумышленникам удаленно внедрить вредоносный JavaScript-код в контекст уязвимого приложения.

Также мошенники могут обманным путем заставить жертву посетить вредоносный сайт, который сможет проэксплуатировать уязвимость и выполнить произвольный код на устройстве (телефон, планшет и т.п.) с привилегиями уязвимого приложения.

Эта уязвимость может также использоваться для хищения учетных данных для доступа к банковским счетам и проведения финансовых транзакций.

В настоящий момент производитель выпустил исправленную версию Apache Cordova 3.5.1. SecurityLab рекомендует разработчикам, использующим уязвимую версию фрэймворка, в кратчайшие сроки обновить свои приложения.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.