ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពមួយក្រុមរកឃើញនូវកំហុសឆ្គងនៃកម្មវិធី Mobile Banking Apps របស់ធនាគារធំៗដែលបន្សល់នូវព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់រាប់លាននាក់សម្រាប់ក្រុមហេគឃ័រ។ ចំណុចរងគ្រោះនេះត្រូវរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវ Security and Privacy Group នៃមហាវិទ្យាល័យ University of Birmingham ដែលធ្វើការតេស្តទៅលើកម្មវិធី Banking Apps រាប់រយកម្មវិធីទាំងនៅលើ iOS និង Android និងរកឃើញថាកម្មវិធីទាំងនេះរងគ្រោះដោយបញ្ហាដដែលគឺការបន្សល់ទុកនូវចំណុចរងគ្រោះសម្រាប់ការវាយប្រហារ man-in-the-middle attacks ។

កម្មវិធី Banking Apps ដែលរងគ្រោះនេះរួមមាន HSBC, NatWest, Co-op, Santander និង Allied Irish bank ដែលឥឡូវនេះបានធ្វើបច្ចុប្បន្នភាពថ្មីរួចហើយក្រោយពេលដែលក្រុមអ្នកស្រាវជ្រាវរាយការណ៍អំពីរឿងនេះ។ តាមឯកសារ PDF បញ្ចេញដោយក្រុមអ្នកសា្រវជ្រាវនេះ កម្មវិធីដែលរងគ្រោះនេះអនុញ្ញាតឱ្យហេគឃ័រភ្ជាប់ទៅកាន់ Network ដូចគ្នាទៅនឹងជនរងគ្រោះដែរដហើយធ្វើការវាយប្រហារទៅលើ SSL Connection និងទាញយកព័ត៌មានសម្ងាត់ធនាគាររបស់អ្នកប្រើប្រាស់ដូជជាឈ្មោះអ្នកប្រើប្រាស់ និងលេខសម្ងាត់ /pincodes ដោយប្រើប្រាស់ SSL pinning។

SSL pinning គឺជាមុខងារសុវត្ថិភាពមួយសម្រាប់រារាំងទៅលើការវាយប្រហារ man-in-the-middle (MITM) attacks ដោយធ្វើការដំណើរការនូវ Layer នៅចន្លោះ Hosts និង Devices ។ ក្រុមអ្នកស្រាវជ្រាវរកឃើញថា ដោយសារតែកង្វះខាតទៅលើ hostname verification កម្មវិធី Banking Apps ជាច្រើនមិនត្រូវបានឆែកនោះទេថាពួកគេកំពុងតែភ្ជាប់ទៅកាន់ Source ពិតប្រាកដនោះ។

ក្រៅពីបញ្ហានេះ ក្រុមអ្នកស្រាវជ្រាវក៏លម្អិតអំពី “in-app phishing attack” ទៅលើធនាគារ Santander និង Allied Irish Banks ដែលអនុញ្ញាតឱ្យ Attackers ធ្វើការប្លន់ (Hijack) ទៅលើអេក្រង់របស់ជនរងគ្រោះខណៈពេលដែលកម្មវិធី App កំពុងតែដំណើរការ និងប្រើប្រាស់សម្រាប់ធ្វើការបន្លំព័ត៌មាននៃការ Login របស់ជនរងគ្រោះ។ ដើម្បីធ្វើការតេស្តទៅលើចំណុចរងគ្រោះនៃកម្មវិធី Banking Apps រាប់រយនេះ ក្រុមអ្នកស្រាវជ្រាវក៏បង្កើតនូវ Tool ដំណើរការស្វ័យប្រវត្តិថ្មីមួយឈ្មោះថា Spinner ៕