image

Hacker vindt lek in Mobiel Bankieren app ING

woensdag 21 maart 2012, 12:34 door Redactie, 17 reacties

De Nederlandse beveiligingsonderzoeker Floor Terra heeft een beveiligingslek in de mobiel bankieren app van de ING ontdekt. Na te zijn ingelicht nam de bank meteen maatregelen en verhielp het probleem dat in Android-versie van de software aanwezig was. Sinds de app in november voor iPhone en Android-toestellen verscheen, is die door 800.000 klanten gedownload. Gemiddeld wordt de app ongeveer 300.000 keer per dag gebruikt.

Volgens Terra zijn de maatregelen van de ING onvoldoende, zo laat hij vanavond in EenVandaag weten. De onderzoeker stelt in de uitzending dat mobiel internetbankieren onveilig is. Terra zal ook nog een artikel over zijn bevindingen publiceren, maar dat zal volgens hem over een aantal dagen online verschijnen.

Update 14:50
Terra ontdekte dat de communicatie tussen de telefoon en de bank door een fout in de app slecht beveiligd was. Het SSL-certificaat werd niet gecontroleerd, waardoor een man-in-the-middle-aanval mogelijk was. "Het is een blamage dat deze fout gemaakt is. Dit is een hele elementaire beveiliging waar niet aan gedacht is. Hierom wordt de ING in security-kringen hard uitgelachen", aldus Bart Jacobs, hoogleraar Computerbeveiliging aan de Radboud Universiteit, tegenover EenVandaag.

Zowel Terra als Jacobs vinden dat ING het probleem zelf hadden moeten ontdekken. ING heeft het lek inmiddels gedicht en verplicht gebruikers van de ING-app een nieuwe versie te installeren. Sinds 20 maart is er ook een update voor iPhone gebruikers beschikbaar. ING stelt dat er geen fraude via de kwetsbaarheid is gepleegd.

Update 17:25
Het probleem met de SSL-certificaten werd begin november vorig jaar al gemeld door beveiligingsonderzoeker Richard van den Berg. "Het authenticatie protocol ziet er goed doordacht uit. Er wordt niet vertrouwd op SSL of TLS. In plaats daarvan gebruikt ING een extra encryptielaag waarvoor het wachtwoord wordt afgesproken via het SRP protocol. Ook genereert elk mobiel device een eigen profileId en een public/private sleutelpaar", merkte Van den Berg toen op.

Door die extra encryptielaag zou een aanvaller nog steeds geen succesvolle encryptielaag kunnen uitvoeren. Terra zou echter ook andere problemen hebben aangetroffen.

Reacties (17)
21-03-2012, 13:08 door Anoniem
Ik zelf heb de ING app ook onderzocht. Niet zo mega lang maar enige wat ik eruit kon halen is als een trojan je telefoon overneemt kan hij de ING data ophalen waar sleutels in staan die je maakt wanneer je ING app valideerd, Als je dat hebt kan je met het wachtwoord die je moet intypen iemand ze rekening overnemen.

Vraag me af of Floor Terra wat andere manieren heeft dus ben benieuwd.
21-03-2012, 13:51 door Anoniem
@Anoniem

hoe onderzoek je zo iets? met een android emulator ofzo?
21-03-2012, 15:09 door [Account Verwijderd]
[Verwijderd]
21-03-2012, 15:54 door Anoniem
Door Anoniem: @Anoniem

hoe onderzoek je zo iets? met een android emulator ofzo?
Decompilen, en broncode doorlezen als java.
Na mijn onderzoek kwam ook nog deze persoon met ze eigen analise over hoe de ING app werkt.
Bron: http://www.mountknowledge.nl/2011/11/09/ing-mobiel-bankieren-authenticatie/

Verder is er bekend dat er een fout is met de SSL.
Quote: "Door een fout in de app bleek deze het SSL-certificaat van de Bank niet te controleren. Daardoor doet de app niet alleen zaken met de ING, maar mogelijk ook met criminelen. Een internetbrowser toont precies zo'n controle via een groen gesloten slotje in de adresbalk. In hun "drie keer kloppen" campagne vragen de banken hun klanten dat altijd te controleren. De Mobiel Bankieren app van de ING
deed dat zelf echter niet."
Bron: http://www.eenvandaag.nl/binnenland/40032/mobiel_bankieren_ing_maandenlang_onveilig

Het zal toe leiden dat er een man-in-the-middle toegepast kan worden doordat SSL-certificaat van de Bank niet controleerd worden. Deze man-in-the-middle is erg moeilijk toe te passen. Dit komt doordat de ING app twee beveiligingen heeft. SSL + TLS en SRP. Doordat SRP erin zit is het alsnog beveiligd wanneer je Internet bankiert. Je bent alleen gevoelig wanneer je ING app net installeerd en je app registreerd.
21-03-2012, 16:02 door Anoniem
Tsjonge jongen. Oud nieuws. Dit stond in November al op security.nl: http://www.security.nl/artikel/39139/%22Beveiliging_ING_mobiel_bankieren_best_goed%22.html
21-03-2012, 16:10 door rob
Door Anoniem: Ik zelf heb de ING app ook onderzocht. Niet zo mega lang maar enige wat ik eruit kon halen is als een trojan je telefoon overneemt kan hij de ING data ophalen waar sleutels in staan die je maakt wanneer je ING app valideerd, Als je dat hebt kan je met het wachtwoord die je moet intypen iemand ze rekening overnemen.

Dat is vanzelfsprekend: op een gecompromiteerd systeem kan alles... dat is nog geen lek in de applicatie.

Door Anoniem: Het zal toe leiden dat er een man-in-the-middle toegepast kan worden doordat SSL-certificaat van de Bank niet controleerd worden. Deze man-in-the-middle is erg moeilijk toe te passen. Dit komt doordat de ING app twee beveiligingen heeft. SSL + TLS en SRP. Doordat SRP erin zit is het alsnog beveiligd wanneer je Internet bankiert. Je bent alleen gevoelig wanneer je ING app net installeerd en je app registreerd.[/i]

Ik heb me er niet over ingelezen. Maar het lijkt mij dat SRP alleen voorkomt dat het wachtwoord kan worden bemachtigd. Dat is onvoldoende om misbruik te voorkomen.
21-03-2012, 16:27 door Anoniem
dus het is alleen de android app! HAha Wat zit ik als iPhone gebruiker dan goed, wetende dat een trojan, virus of malware nooit en te nimmer op iOS mogelijk zal zijn, want Apple, met zijn walled garden, zal dat simpelweg niet door laten! YES!
21-03-2012, 16:48 door Anoniem
"Update 16:08: Zoals tweaker Lupo1989 opmerkt, zit er meer beveiliging in de app dan alleen de ssl-verbinding. "Hierdoor kan er een man in the middle gedaan worden maar de informatie is alsnog onleesbaar doordat er twee encrypties erover heen zitten." It-consultant Mount Knowledge concludeerde eerder dat de encryptie er solide uitzag. "Er wordt niet vertrouwd op SSL of TLS. In plaats daarvan gebruikt ING een extra encryptielaag waarvoor het wachtwoord wordt afgesproken via het SRP protocol. Ook genereert elk mobiel device een eigen profileId en een public/private sleutelpaar." De enige theoretische kwetsbaarheid zat volgens die analyse in het registratieproces."
Bron:http://tweakers.net/nieuws/80816/mobielbankieren-app-ing-controleerde-ssl-certificaat-bank-niet.html
21-03-2012, 17:13 door slartibartfast
Wat een gezeur. Een beetje slimme hacker gaat echt niet proberen SSL te kraken via een mitm attack maar infecteert de android smartphone met malware welke de gebruiker misleidt. En dat is piece of cake met dit absoluut onveilige platform.

Iedereen met maar een greintje verstand blijft ver, heel ver van internet bankieren op een smartphone maar ja; 'functionaliteit always wins over security'. En trots dat die banken zijn over die vele honderdduizenden nitwits die het wel doen... terwijl 1 op de 5 android apps achterdeuren en privacy problemen heeft. Zo stuurt whatsapp alle telefoonnummers uit je adresboek naar de server (zie c't maart 2012).
21-03-2012, 19:38 door Anoniem
Waarom denkt half scriptkiddieland het afgelopen jaar beveiligingsexpert te zijn - nog erger - waarom doen de media gretig mee.... Beetje onderzoeker en journalist gaat tot de bodem voor bewijs, niet voor de scoop. Anders ben je zelf net zo vervelend fout als de aanvaller is mijn mening.
21-03-2012, 21:31 door Fwiffo
Ik kan niet veel analyses van SRP vinden. Er is een ghostscript bestand op de officiële site, maar ik weet niet of ik die kan openen (niet geprobeerd, gaat ook niet gebeuren). Zover ik het begrijp, kan een aanvaller zich voordoen als de site van ING (geen CA die deze certificeert). Dan de mobiele gebruiker laten inloggen met SRP en die wat TAN codes oid ontfutselen. Daarna: "Sorry, de site van ING is overbelast, probeert u morgen weer".

Reactie ING: Maar uw wachtwoord is veilig!
21-03-2012, 21:33 door Anoniem
Prof. Jacobs beweert in Eenvandaag dat door de gevonden kwetsbaarheid het mogelijk zou zijn geweest bedragen en rekeningnummers aan te passen. Dat klopt dus niet, hij heeft zich onvoldoende in dit lek verdiept...
21-03-2012, 21:38 door Anoniem
@Fwiffo: Ga je nu eerst eens verdiepen in de materie en dan (eventueel) een reactie geven in plaats van onzin uit te kramen. Reageren is niet verplicht op dit forum.
21-03-2012, 22:13 door Anoniem
Voor iOS en waarschijnlijk voor Android bestaan er functies om tijdelijk de verficatie van SSL certificaten uit te zetten. Dit is handig als je moet testen met een interne server waar je geen officieel gesigned certificaat voor wil kopen.
Wel moet je dan voordat de App in productie gaat deze functionaliteit weer deactiveren. Er zijn al meerdere voorbeelden van deze developer fout geweest alleen zijn ze niet allemaal hier of op TV besproken.

dus het is alleen de android app! HAha Wat zit ik als iPhone gebruiker dan goed, wetende dat een trojan, virus of malware nooit en te nimmer op iOS mogelijk zal zijn, want Apple, met zijn walled garden, zal dat simpelweg niet door laten! YES!

Ik neem aan dat dit sarcasme was want apps zijn helemaal niet zo geisoleerd als je zegt. Waarom anders kunnen apps je hele telefoonboek leegtrekken op zoek naar vrienden of mensen die dezelfde app gebruiken. Het is dus maar net wat Apple toe heeft gelaten en of ze die limitatie goed hebben gedaan.
21-03-2012, 22:27 door Erik van Straten
Door Fwiffo: Ik kan niet veel analyses van SRP vinden.
http://srp.stanford.edu/ndss.html (snel gevonden via http://en.wikipedia.org/wiki/Secure_remote_password_protocol).

Zover ik het begrijp, kan een aanvaller zich voordoen als de site van ING (geen CA die deze certificeert).
Als de beschrijving in http://www.mountknowledge.nl/2011/11/09/ing-mobiel-bankieren-authenticatie/ klopt is dit een éénmalig probleem, namelijk de eerste keer dat de gebruiker met een specifieke telefoon gaan internetbankieren:
Conclusie onderaan http://www.mountknowledge.nl/2011/11/09/ing-mobiel-bankieren-authenticatie/: De grootste kwetsbaarheid zit hem in het registratieproces. Als er tijdens dit proces iemand tussen het mobiele device en de services.ing.nl server in zit (man-in-the-middle), dan is het theoretisch mogelijk om het registratieproces te kapen, en namens de gebruiker de registratie te voltooien. Een aanvaller moet dan wel het hele registratieprotocol inclusief encryptie reverse engineeren en live na weten te bootsen. Ook is een vals SSL certificaat voor services.ing.nl nodig.
Een vals SSL certificaat genereren stelt niets voor. Een MITM aanval uitvoeren net op het moment dat de gebruiker voor het eerst met z'n smartphone gaat internetbankieren is wel erg lastig, maar door ING simpel te voorkomen door het certificaat te controleren.

Na dat eerste kwetsbare "contact" kunnen beide partijen (klant met smartphone en ING) elkaar wederzijds authenticeren en, als SRP correct is geïmplementeerd, symmetrische sleutels uitwisselen die voor de uiteindelijke versleuteling worden gebruikt. So far, so good (nou ja, redelijk).

De vraag die bij me opkomt is of een MITM aanvaller ING er, bij een eerder voor internetbankieren gebruikte smartphone, van kan overtuigen dat het om een nieuwe (of gewiste) smartphone gaat en hoe de app daarop reageert (wat moet je trouwens doen als je je smartphone verkoopt?).
Ook sluit ik niet uit dat er een reddingsmechanisme bestaat voor het geval ING de gegevens van een gebruiker kwijtraakt (of de aanvaller ontdekt dat je, namens een gebruiker, kan doorgeven dat de telefoon gestolen is of defect is geraakt). Denkbaar is dat de MITM aanvaller de app weet te reverse engineeren en ontdekt dat als "ING" een speciale code naar de app stuurt, deze het initiële authenticatieproces opnieuw moet uitvoeren. Als zoiets mogelijk is (of was) dan is het niet checken van het certificaat pas echt een grote blunder.
22-03-2012, 09:28 door Fwiffo
Door Erik van Straten:
Door Fwiffo: Ik kan niet veel analyses van SRP vinden.
http://srp.stanford.edu/ndss.html (snel gevonden via http://en.wikipedia.org/wiki/Secure_remote_password_protocol).
Dat is over SRP3 uit 1997. Ik hoop bij God dat ze dat niet gebruikt hebben bij de ING!!
26-08-2012, 11:40 door Anoniem
@Erik van Straten - Je kan zelf per mobiel device de toestemming intrekken in het overzicht 'mobiel bankieren'. Je kan daar eenvoudig zien om welke devices het gaat omdat je het merk en type wordt genoemd. Daarnaast kan je ook zien wanneer de app voor het laatst aangemeld is geweest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.