当初、サンチェス氏が懸念していたのはiOSのバンキングアプリで、その多くが基本的なセキュリティ保護を実装していないことが判明しましたが、脆弱性の通知後も状況は変わりませんでした。
Sanchez氏は、発見したバンキングアプリの脆弱性について詳細な調査を行ったわけではなく、どのように悪用できるかを示したわけでもありません。彼は40のiOSモバイルバンキングアプリのセキュリティを40時間テストし、そのすべてが1台の脱獄したiOSデバイスにインストールされることを許可しました。これに対して彼は、iOSデバイスは脱獄から保護されるべきであると勧告しました。
次に、各アプリケーションのクライアント側のテストが行われました。トランスポート・セキュリティ、コンパイラ保護、UIWebViews、安全でないデータ保存、ロギング、バイナリ解析などです。実行中のテストには、機密情報が暗号化されていないデータで送信されないこと、セッションが安全であること、SSL 証明書が適切に扱われることの検証も含まれました。ユーザはこのことに興味がなく、むしろこれらのアプリケーションが妥当なセキュリティを持っていることを当然と考えているかもしれません。
Sanchez氏は、監査対象となったアプリの40%がSSL証明書の信頼性を検証しておらず、MiTM攻撃に対して非常に脆弱であること、また90%のアプリがアプリ全体をカバーする複数の非SSL接続を含んでおり、ハッカーがログインブーストや同様の詐欺を偽装できることを発見しました。
さらに悪いことに、彼はこれらのアプリケーションのコードからハードコア認証情報を発見し、ハードコア認証情報を使用することで、ハッカーはこれらの銀行の開発インフラにアクセスすることができました。
多要素認証については何度も耳にしたことがあるかもしれませんが、テストされたアプリケーションの70%には、ユーザーが「模擬攻撃のリスクを軽減する」ための代替認証ソリューションがありませんでした。
