金融服务API安全性
银行的开放合作推动了API在银行业的广泛使用,使第三方开发者能够围绕金融机构开发应用程序。无论是作为一种合规要求还是一种商业策略,这已经促使金融服务公司关注API和API安全。
鉴于这一日益增长的趋势,安全研究人员将脆弱性研究重点放在金融服务和金融科技公司上,并能够通过55家银行的API访问它们,使其能够更改客户的PIN码,并将资金从客户的账户上进出。易受攻击的目标包括拥有25000-6800万客户、管理资产230万- 7.7万亿美元公司。
金融服务API安全问题
在55个逆向工程的移动应用程序中,有54个包含硬编码的API密钥和令牌,包括用户名和第三方服务的密码。
所有被测试的55个应用程序都容易受到WITM攻击,这使得安全研究人员可以拦截和解密移动应用程序和后端API之间的加密通信。
被测试的API 100%都容易受到破坏对象级授权(BOLA)漏洞的攻击,该漏洞允许安全研究人员更改任何银行客户的Visa ATM借记卡号的PIN码,或将钱转入/转出账户。
所有测试的API都容易受到身份验证漏洞的影响,这使得安全研究人员可以在不经过身份验证的情况下对其他银行客户账户执行API请求。
其中一家银行测试了代码开发的外包工作,开发人员在数百家其他银行重复使用相同的易受攻击代码,从而允许对其他银行目标使用相同的攻击。
安全研究人员表示,API现在是许多关键基础设施的基石,已经成为我们整个互联世界的管道。不幸的是,许多金融服务和金融科技公司选择不在内部开发他们的应用程序,而是将他们的API和移动应用程序开发外包给第三方,而让问题更加严重的是,这些第三方在其他银行客户身上重复使用同样的易受攻击的代码。
安全研究人员能够利用被破坏的身份验证和被破坏的对象级授权问题,使其能够对任何客户账户执行未经授权的资金转账和PIN码更改,这表明这些不安全的API在金融系统中造成了明显安全威胁。
API的广泛采用扩展了攻击面
传统银行不得不与金融科技公司竞争,以紧跟时代步伐,满足消费者对银行的新需求,传统的商业银行正急于部署新技术,以实现跨越式的数字体验。
在全球范围内,开放银行项目推动了以API为中心的服务,向第三方提供商开放支付、帐户服务和其他数据。此外,随着金融服务机构寻求改善客户数字体验,数字转型计划是重中之重。
通过交付附加价值来吸引新客户并保持现有客户的努力已经产生了更多的应用程序服务和支持API。与此同时,API使用的增加导致攻击面急剧增加。
”此次研究表明,在过去几年里,没有哪个行业能够免受API攻击。然而,越来越多的攻击发生在金融科技领域,这说明黑客已经意识到它们是多么容易被利用”,Noname安全高级主管坎贝尔表示。