Studenten van de Universiteit van Amsterdam hebben een probleem in de ‘Mobiel bankieren’ app van de ABN Amro ontdekt waardoor het mogelijk was om pincode en rekeninggegevens te onderscheppen en te decoderen. De studenten konden zelfs rekeningnummers en bedragen in transacties wijzigen. Het ging om een man-in-the-middle (MiTM) probleem in de Android-versie van de app.
Het probleem werd vorig jaar door Thijs Houtenbos, Jurgen Kloosterman, Bas Vlaszaty en Javy de Koning ontdekt. De mobiel bankieren app van ABN Amro bleek alleen te controleren of er een SSL-certificaat werd gebruikt.
Er werd niet naar de domeinnaam gekeken waarvoor het certificaat was uitgegeven. Daardoor konden de studenten een geldig SSL-certificaat aanvragen en dat gebruiken om tussen de app-gebruiker en de bank te zitten, waarbij het verkeer eerst naar de server van de studenten werd gestuurd.
"Omdat de mobiele applicatie alle verbindingen zonder interactie van de gebruiker afhandelt, heeft de gebruiker geen manier om te controleren of de verbinding inderdaad met de echte bankserver is, zoals bij browsers mogelijk is", laten de onderzoekers weten.
Update
Het probleem werd door ABN Amro opgelost en een nieuwe Android-versie van de app is sinds 17 december 2012 beschikbaar. "Het is lovenswaardig dat het slechts enkele dagen duurde voordat de 760.000 gebruikers hierover konden beschikken", aldus de onderzoekers. Die waarschuwen dat klanten die de nieuwe versie niet gebruiken nog steeds kwetsbaar voor de MiTM-aanval zijn.
Dat wordt mogelijk mede door de bank zelf veroorzaakt. "Deze gebruikers zijn zich daar mogelijk niet van bewust. In de begeleidende tekst bij de app-update staat alleen: “Dit is een security update die Mobiel Bankieren nog veiliger maakt”", zo stellen de onderzoekers.
Certificaat
Die laten verder weten dat het probleem verder gaat dan alleen de app van ABN Amro. "We vinden dat er een standaard methode moet komen voor het gebruik van certificaten in Android-applicaties, aangezien we ervan uitgaan dat onze bevindingen niet alleen tot dit specifieke geval beperkt zijn."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.