Mobiel bankieren app ABN Amro lekte pincode
Studenten van de Universiteit van Amsterdam hebben een probleem in de ‘Mobiel bankieren’ app van de ABN Amro ontdekt waardoor het mogelijk was om pincode en rekeninggegevens te onderscheppen en te decoderen. De studenten konden zelfs rekeningnummers en bedragen in transacties wijzigen. Het ging om een man-in-the-middle (MiTM) probleem in de Android-versie van de app.
Het probleem werd vorig jaar door Thijs Houtenbos, Jurgen Kloosterman, Bas Vlaszaty en Javy de Koning ontdekt. De mobiel bankieren app van ABN Amro bleek alleen te controleren of er een SSL-certificaat werd gebruikt.
Er werd niet naar de domeinnaam gekeken waarvoor het certificaat was uitgegeven. Daardoor konden de studenten een geldig SSL-certificaat aanvragen en dat gebruiken om tussen de app-gebruiker en de bank te zitten, waarbij het verkeer eerst naar de server van de studenten werd gestuurd.
"Omdat de mobiele applicatie alle verbindingen zonder interactie van de gebruiker afhandelt, heeft de gebruiker geen manier om te controleren of de verbinding inderdaad met de echte bankserver is, zoals bij browsers mogelijk is", laten de onderzoekers weten.
Update
Het probleem werd door ABN Amro opgelost en een nieuwe Android-versie van de app is sinds 17 december 2012 beschikbaar. "Het is lovenswaardig dat het slechts enkele dagen duurde voordat de 760.000 gebruikers hierover konden beschikken", aldus de onderzoekers. Die waarschuwen dat klanten die de nieuwe versie niet gebruiken nog steeds kwetsbaar voor de MiTM-aanval zijn.
Dat wordt mogelijk mede door de bank zelf veroorzaakt. "Deze gebruikers zijn zich daar mogelijk niet van bewust. In de begeleidende tekst bij de app-update staat alleen: “Dit is een security update die Mobiel Bankieren nog veiliger maakt”", zo stellen de onderzoekers.
Certificaat
Die laten verder weten dat het probleem verder gaat dan alleen de app van ABN Amro. "We vinden dat er een standaard methode moet komen voor het gebruik van certificaten in Android-applicaties, aangezien we ervan uitgaan dat onze bevindingen niet alleen tot dit specifieke geval beperkt zijn."
ABN had daar niet vanuit mogen gaan natuurlijk.
- WEL controleerde of het een te vertrouwen certificaat betrof (van VeriSign / GoDaddy / etc.)?
- maar NIET controleerde of de common name (whatever.abnamro.nl) van dat certificaat klopte?
Of:
- werd het certificaat helemaal niet gecontroleerd?
In beide gevallen wel erg amateuristisch zeg...
Gaat niet gebeuren, dat koppen rollen. Plas-glas-was en alle "toezichthouders" en andere Melkert banen weten waarschijnlijk niet eens dat deze staatsbank zulke zooi laat maken. And if they did, they didn't care...
0000
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0016
0017
0018
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.