image

Mobiel bankieren app ABN Amro lekte pincode

woensdag 13 februari 2013, 12:51 door Redactie, 13 reacties

Studenten van de Universiteit van Amsterdam hebben een probleem in de ‘Mobiel bankieren’ app van de ABN Amro ontdekt waardoor het mogelijk was om pincode en rekeninggegevens te onderscheppen en te decoderen. De studenten konden zelfs rekeningnummers en bedragen in transacties wijzigen. Het ging om een man-in-the-middle (MiTM) probleem in de Android-versie van de app.

Het probleem werd vorig jaar door Thijs Houtenbos, Jurgen Kloosterman, Bas Vlaszaty en Javy de Koning ontdekt. De mobiel bankieren app van ABN Amro bleek alleen te controleren of er een SSL-certificaat werd gebruikt.

Er werd niet naar de domeinnaam gekeken waarvoor het certificaat was uitgegeven. Daardoor konden de studenten een geldig SSL-certificaat aanvragen en dat gebruiken om tussen de app-gebruiker en de bank te zitten, waarbij het verkeer eerst naar de server van de studenten werd gestuurd.

"Omdat de mobiele applicatie alle verbindingen zonder interactie van de gebruiker afhandelt, heeft de gebruiker geen manier om te controleren of de verbinding inderdaad met de echte bankserver is, zoals bij browsers mogelijk is", laten de onderzoekers weten.

Update
Het probleem werd door ABN Amro opgelost en een nieuwe Android-versie van de app is sinds 17 december 2012 beschikbaar. "Het is lovenswaardig dat het slechts enkele dagen duurde voordat de 760.000 gebruikers hierover konden beschikken", aldus de onderzoekers. Die waarschuwen dat klanten die de nieuwe versie niet gebruiken nog steeds kwetsbaar voor de MiTM-aanval zijn.

Dat wordt mogelijk mede door de bank zelf veroorzaakt. "Deze gebruikers zijn zich daar mogelijk niet van bewust. In de begeleidende tekst bij de app-update staat alleen: “Dit is een security update die Mobiel Bankieren nog veiliger maakt”", zo stellen de onderzoekers.

Certificaat
Die laten verder weten dat het probleem verder gaat dan alleen de app van ABN Amro. "We vinden dat er een standaard methode moet komen voor het gebruik van certificaten in Android-applicaties, aangezien we ervan uitgaan dat onze bevindingen niet alleen tot dit specifieke geval beperkt zijn."

Reacties (13)
13-02-2013, 12:54 door Anoniem
Niet de eerste keer dat de abn lekke software verspreidt.
13-02-2013, 13:05 door Mozes.Kriebel
Banklicentie inleveren, nu! Als je met zulke prutsdingen je klanten denkt te bedienen, dan mag je niet meer meespelen.
13-02-2013, 13:21 door Whacko
Dit had inderdaad niet mogen gebeuren, maar zoals de onderzoekers al aangeven, zou er in het android besturingssyteem als een validatie moeten zitten of een certificaat geldig is. Dit is bij iOS wel zo.
ABN had daar niet vanuit mogen gaan natuurlijk.
13-02-2013, 14:18 door Anoniem
Nice read dat report. Ik neem aan dat hier wel koppen door gaan rollen, in elk geval de partij die dit geaudit heeft kan waarschijnlijk op zoek naar een nieuwe opdrachtgever want zoiets triviaals mag je niet missen.
13-02-2013, 14:25 door Anoniem
Begrijp ik goed dat ABN AMRO:

- WEL controleerde of het een te vertrouwen certificaat betrof (van VeriSign / GoDaddy / etc.)?
- maar NIET controleerde of de common name (whatever.abnamro.nl) van dat certificaat klopte?

Of:

- werd het certificaat helemaal niet gecontroleerd?

In beide gevallen wel erg amateuristisch zeg...
13-02-2013, 15:02 door 0101
Door Whacko: Dit had inderdaad niet mogen gebeuren, maar zoals de onderzoekers al aangeven, zou er in het android besturingssyteem als een validatie moeten zitten of een certificaat geldig is. Dit is bij iOS wel zo.
Voor een spelletje of een fotoapplicatie o.i.d. kan ik me dat nog voorstellen, maar het gaat hier om een bank! Bij zulke gevoelige gegevens mag je simpelweg niet aannemen dat dit wel goed zal gaan. Ik ben het helemaal eens met je stelling
ABN had daar niet vanuit mogen gaan natuurlijk.
Door Mozes.Kriebel: Banklicentie inleveren, nu!
Zolang het een bank in het bezit van de overheid is zie ik dat niet gebeuren. Ze willen in Den Haag natuurlijk nog wel iets terug zien van hun (ons!) geld natuurlijk.
13-02-2013, 15:26 door Anoniem
en als er ongelukjes gebeuren dan ligt de verantwoordelijkheid en aansprakelijkheid bij de klant??
13-02-2013, 16:41 door Mozes.Kriebel
Door Anoniem: Nice read dat report. Ik neem aan dat hier wel koppen door gaan rollen, in elk geval de partij die dit geaudit heeft kan waarschijnlijk op zoek naar een nieuwe opdrachtgever want zoiets triviaals mag je niet missen.
Ook jij neemt dingen aan, net als ABN. Assumption is the mother of all fuck-ups.
Gaat niet gebeuren, dat koppen rollen. Plas-glas-was en alle "toezichthouders" en andere Melkert banen weten waarschijnlijk niet eens dat deze staatsbank zulke zooi laat maken. And if they did, they didn't care...
13-02-2013, 17:46 door _Peterr
Toch knap van ABN AMRO dat ze in 4 dagen na melding, in het weekend, een nieuwe app kunnen maken en publiceren in de Play Store. Dat ga je bij 90% van de bedrijven echt niet lukken. Die pakken de melding pas op na een week.....
14-02-2013, 11:36 door Anoniem
vergeet niet -- het is al in december gefixed. Als je nu nog steeds dat niet gedaan hebt.... sja, dan vraag je er ook wel om. welke pincode trouwens? Die 5 cijfers? Dan nog zit je aan een beperkt schade.
14-02-2013, 16:32 door Mozes.Kriebel
Door _Peterr: Toch knap van ABN AMRO dat ze in 4 dagen na melding, in het weekend, een nieuwe app kunnen maken en publiceren in de Play Store. Dat ga je bij 90% van de bedrijven echt niet lukken. Die pakken de melding pas op na een week.....
Dus ze kunnen het wel... waarom is deze major pruts dan niet in de OTAP boven water gekomen? Oh, wacht...
14-02-2013, 23:24 door Anoniem
Ach alle PIN-codes zijn toch al lang gelekt?

0000
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0016
0017
0018
19-02-2013, 12:22 door Anoniem
Door Anoniem: Ach alle PIN-codes zijn toch al lang gelekt?

0000
0001
0002
0003
(...)
0018
Maar dat is niet alles. Mijn programma kan ze ook nog automatisch aanmaken!
int pin = 0;
while (pin < 10000)
{
printf ("Pincode = %04d\n", x);
x++;
}
;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.