Mobila appar och med SSL (HTTPS)

mobil SSL

När du arbetar med pengar online är det viktigt att se till att all din data är säker, även när du pratar om en digital kryptovaluta som Bitcoin. Tidigare denna månad hade Naked Security en artikel om ett fel i Coinbase-appen för Android-smartphones och surfplattor som orsakade lite av skräck hos vissa människor.

Bryan Stern, en säkerhetsforskare, blev offentlig med kunskap om bristen i hur appen hanterar SSL-anslutningar i hans GitHub blogg den 27 juni 2014. Före det inlägget hade han gått fram och tillbaka med Coinbase, som sa att bristen inte var riktigt allvarlig. Stern skrev:

Med en komprometterad SSL-anslutning kan en angripare få full kontroll över en användares konto genom att stjäla deras åtkomsttoken. En angripare kan också fånga en begäran om att skicka bitcoins och ändra både belopp och destinationsadress.

Medan Android-appen från Coinbase faktiskt kontrollerar TLS certifikat presenteras när det ansluts till en Coinbase-server och ser till att det är undertecknat av en erkänd Certificate Authority (CA), tycker Stern inte att det räcker. Andra finansiella appar som använder HTTPS-klienter tar vanligtvis extra steg för att dubbelkontroll d TLS certifikat, lägger till ytterligare ett lager av säkerhet.

Andreas Antonopoulos och andra från Bitcoin har oberoende granskat Coinbases säkerhet och solvens, och appen är nu tillgänglig för användare över hela världen. Coinbase har försökt gå gränsen mellan säkerhet och bekvämlighet för användare, och vissa tycker att de gör ett bra jobb med den farliga uppgiften.

Allt detta leder till en fråga - är alla ekonomiska appar säkra? Redan i januari i år tittade Ariel Sanchez från IOActive på 40 olika iOS-bankappar. Undersökningen visade att cirka 40% av de appar som är anslutna via HTTPS utan att validera certifikaten alls. Som ni vet är detta en enorm säkerhetsrisk på det moderna internet.

Och tillbaka till Coinbase, det finns fortfarande andra problem som inte är strikt relaterade till SSL /TLS. En av de största problemen är att privata nycklar förvaras av Coinbase och inte ges till användaren. "Vad jag har lärt mig av att ha mynt på Mtgox: Om du, och du ensam, inte äger de privata nycklarna, äger du inte mynten", säger Introshine online enligt en artikel i CryptoCoinsNews.

Här är några säkerhetstips att komma ihåg innan du installerar ett på din mobila enhet.

  • Använd inte mobilappar för finansiella transaktioner om du inte vet att de är helt säkra
  • Använd en skyddad stationär dator eller bärbar dator med en vanlig webbläsare för att göra din bank
  • Om du använder mobila bankappar, se till att du ansluter till ett VPN för ökad säkerhet och trygghet

Att följa ovanstående råd hjälper dig att skydda dig. Medan Coinbase och andra har säkerhet i åtanke när de släpper mobilappar är det viktigt att se till att du själv vidtar åtgärder för att skydda din ekonomiska data online.

 

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.