Nieuws

Mobiel bankieren app ABN Amro lekte pincode

woensdag 13 februari 2013, 12:51 door Redactie, 13 reacties

Studenten van de Universiteit van Amsterdam hebben een probleem in de ‘Mobiel bankieren’ app van de ABN Amro ontdekt waardoor het mogelijk was om pincode en rekeninggegevens te onderscheppen en te decoderen. De studenten konden zelfs rekeningnummers en bedragen in transacties wijzigen. Het ging om een man-in-the-middle (MiTM) probleem in de Android-versie van de app.

Het probleem werd vorig jaar door Thijs Houtenbos, Jurgen Kloosterman, Bas Vlaszaty en Javy de Koning ontdekt. De mobiel bankieren app van ABN Amro bleek alleen te controleren of er een SSL-certificaat werd gebruikt.

Er werd niet naar de domeinnaam gekeken waarvoor het certificaat was uitgegeven. Daardoor konden de studenten een geldig SSL-certificaat aanvragen en dat gebruiken om tussen de app-gebruiker en de bank te zitten, waarbij het verkeer eerst naar de server van de studenten werd gestuurd.

"Omdat de mobiele applicatie alle verbindingen zonder interactie van de gebruiker afhandelt, heeft de gebruiker geen manier om te controleren of de verbinding inderdaad met de echte bankserver is, zoals bij browsers mogelijk is", laten de onderzoekers weten.

Update
Het probleem werd door ABN Amro opgelost en een nieuwe Android-versie van de app is sinds 17 december 2012 beschikbaar. "Het is lovenswaardig dat het slechts enkele dagen duurde voordat de 760.000 gebruikers hierover konden beschikken", aldus de onderzoekers. Die waarschuwen dat klanten die de nieuwe versie niet gebruiken nog steeds kwetsbaar voor de MiTM-aanval zijn.

Dat wordt mogelijk mede door de bank zelf veroorzaakt. "Deze gebruikers zijn zich daar mogelijk niet van bewust. In de begeleidende tekst bij de app-update staat alleen: “Dit is een security update die Mobiel Bankieren nog veiliger maakt”", zo stellen de onderzoekers.

Certificaat
Die laten verder weten dat het probleem verder gaat dan alleen de app van ABN Amro. "We vinden dat er een standaard methode moet komen voor het gebruik van certificaten in Android-applicaties, aangezien we ervan uitgaan dat onze bevindingen niet alleen tot dit specifieke geval beperkt zijn."

Microsoft wil alle Windows-gebruikers aan EMET (video)

Adobe zet hackers hak met Click to Play

Reacties (13)

13-02-2013, 12:54 door Anoniem

Niet de eerste keer dat de abn lekke software verspreidt.

13-02-2013, 13:05 door Mozes.Kriebel

Banklicentie inleveren, nu! Als je met zulke prutsdingen je klanten denkt te bedienen, dan mag je niet meer meespelen.

13-02-2013, 13:21 door Whacko

Dit had inderdaad niet mogen gebeuren, maar zoals de onderzoekers al aangeven, zou er in het android besturingssyteem als een validatie moeten zitten of een certificaat geldig is. Dit is bij iOS wel zo.
ABN had daar niet vanuit mogen gaan natuurlijk.

13-02-2013, 14:18 door Anoniem

Nice read dat report. Ik neem aan dat hier wel koppen door gaan rollen, in elk geval de partij die dit geaudit heeft kan waarschijnlijk op zoek naar een nieuwe opdrachtgever want zoiets triviaals mag je niet missen.

13-02-2013, 14:25 door Anoniem

Begrijp ik goed dat ABN AMRO:

- WEL controleerde of het een te vertrouwen certificaat betrof (van VeriSign / GoDaddy / etc.)?
- maar NIET controleerde of de common name (whatever.abnamro.nl) van dat certificaat klopte?

Of:

- werd het certificaat helemaal niet gecontroleerd?

In beide gevallen wel erg amateuristisch zeg...

13-02-2013, 15:02 door 0101

Door Whacko: Dit had inderdaad niet mogen gebeuren, maar zoals de onderzoekers al aangeven, zou er in het android besturingssyteem als een validatie moeten zitten of een certificaat geldig is. Dit is bij iOS wel zo.

Voor een spelletje of een fotoapplicatie o.i.d. kan ik me dat nog voorstellen, maar het gaat hier om een bank! Bij zulke gevoelige gegevens mag je simpelweg niet aannemen dat dit wel goed zal gaan. Ik ben het helemaal eens met je stelling

ABN had daar niet vanuit mogen gaan natuurlijk.

Door Mozes.Kriebel: Banklicentie inleveren, nu!

Zolang het een bank in het bezit van de overheid is zie ik dat niet gebeuren. Ze willen in Den Haag natuurlijk nog wel iets terug zien van hun (ons!) geld natuurlijk.

13-02-2013, 15:26 door Anoniem

en als er ongelukjes gebeuren dan ligt de verantwoordelijkheid en aansprakelijkheid bij de klant??

13-02-2013, 16:41 door Mozes.Kriebel

Door Anoniem: Nice read dat report. Ik neem aan dat hier wel koppen door gaan rollen, in elk geval de partij die dit geaudit heeft kan waarschijnlijk op zoek naar een nieuwe opdrachtgever want zoiets triviaals mag je niet missen.

Ook jij neemt dingen aan, net als ABN. Assumption is the mother of all fuck-ups.
Gaat niet gebeuren, dat koppen rollen. Plas-glas-was en alle "toezichthouders" en andere Melkert banen weten waarschijnlijk niet eens dat deze staatsbank zulke zooi laat maken. And if they did, they didn't care...

13-02-2013, 17:46 door _Peterr

Toch knap van ABN AMRO dat ze in 4 dagen na melding, in het weekend, een nieuwe app kunnen maken en publiceren in de Play Store. Dat ga je bij 90% van de bedrijven echt niet lukken. Die pakken de melding pas op na een week.....

14-02-2013, 11:36 door Anoniem

vergeet niet -- het is al in december gefixed. Als je nu nog steeds dat niet gedaan hebt.... sja, dan vraag je er ook wel om. welke pincode trouwens? Die 5 cijfers? Dan nog zit je aan een beperkt schade.

14-02-2013, 16:32 door Mozes.Kriebel

Door _Peterr: Toch knap van ABN AMRO dat ze in 4 dagen na melding, in het weekend, een nieuwe app kunnen maken en publiceren in de Play Store. Dat ga je bij 90% van de bedrijven echt niet lukken. Die pakken de melding pas op na een week.....

Dus ze kunnen het wel... waarom is deze major pruts dan niet in de OTAP boven water gekomen? Oh, wacht...

14-02-2013, 23:24 door Anoniem

Ach alle PIN-codes zijn toch al lang gelekt?

0000
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0016
0017
0018

19-02-2013, 12:22 door Anoniem

Door Anoniem: Ach alle PIN-codes zijn toch al lang gelekt?

0000
0001
0002
0003
(...)
0018

Maar dat is niet alles. Mijn programma kan ze ook nog automatisch aanmaken!

int pin = 0;
while (pin < 10000)
{
printf ("Pincode = %04d\n", x);
x++;
}

;-)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Advertentie

iSOC24 Live Webinar Sessions

Live Webinar Sessions in de eerste 2 weken van juni. iSOC24 informeert u samen met haar strategische vendors over de laatste trends en ontwikkelingen rondom hun oplossingen en hun toepassing in de praktijk.

Klik op de link voor de inhoud van de sessies en om u in te schrijven!

Lees meer