Symantec: mobiel bankieren-apps lekken vingerafdruk van klanten
Onderzoekers van Symantec hebben vijf apps van banken ontdekt die de vingerafdrukken van honderdduizenden klanten lekken, zo laat het securitybedrijf vandaag weten. De apps maken gebruik van de AI Digital Identity SDK (software development kit) voor het authenticatieonderdeel. Dit onderdeel geeft gebruikers, bijvoorbeeld via een vingerafdrukscan, toegang tot de mobiel bankieren-app.
In de SDK vonden onderzoekers de inloggegevens voor de clouddienst waar data van de betreffende apps werd opgeslagen. Deze clouddienst bevatte persoonlijke data zoals namen en geboortedata van klanten, maar ook 300.000 biometrische digitale vingerafdrukken die klanten gebruiken om op de app in te loggen. Om welke banken het precies gaat is niet bekendgemaakt, behalve dat het verschillende "populaire bankieren-apps" voor iOS betreft.
De onderzoekers van Symantec analyseerden apps voor zowel Android als iOS. Ze vonden ruim 1800 apps met hardcoded inloggegevens voor de clouddiensten van Amazon. In bijna alle gevallen werden de inloggegevens in iOS-apps aangetroffen, waaronder ook de vijf bankieren-apps. Via de gelekte inloggegevens was het volgens de onderzoekers mogelijk om miljoenen private bestanden in Amazons S3-cloudopslagdienst te benaderen.
Doe maar steeds meer gewoon cash. Bank zo snel mogelijk uit faseren.
Amazons S3-cloudopslagdienst te benaderen
reden is. Dit geld voor alle apps dus ook die van de overheid en die D66 nog in het verschiet heeft. ik laat me
echt verrassen door de waarheid als die er echt ooit komt, Ps er zijn er die dat weten maar die mogen niets zeggen
want ze worden gelijk als idioten neer gezet.
Dan doet iOS iets niet goed. Bij android ziet de app de vingerafdruk nooit. De app ziet alleen dat 'het systeem' de vingerafdruk goedgekeurd heeft.
Amazons S3-cloudopslagdienst te benaderen
reden is. Dit geld voor alle apps dus ook die van de overheid en die D66 nog in het verschiet heeft. ik laat me
echt verrassen door de waarheid als die er echt ooit komt, Ps er zijn er die dat weten maar die mogen niets zeggen
want ze worden gelijk als idioten neer gezet.
Dan doet iOS iets niet goed. Bij android ziet de app de vingerafdruk nooit. De app ziet alleen dat 'het systeem' de vingerafdruk goedgekeurd heeft.
Bovendien is de opgeslagen vingerafdruk net zo iets als een password hash. Als je de hash steelt kun je daarmee
normaal gesproken nog nergens inloggen, dan moet je eerst nog even het password erbij vinden. In het geval van
de vingerafdruk moet je dus de vingerafdruk zoeken die de betreffende hash geeft zodat je daarvan dan een replica
kunt maken om daar mee in te loggen.
En dus dat de biometrische informatie in die oudopslag wordt opgeslagen. Ik hoop dan toch dat het een afgeleide daarvan betreft.
Klinkt al met al weer als een hoop gepruts.
Amazons S3-cloudopslagdienst te benaderen
reden is. Dit geld voor alle apps dus ook die van de overheid en die D66 nog in het verschiet heeft. ik laat me
echt verrassen door de waarheid als die er echt ooit komt, Ps er zijn er die dat weten maar die mogen niets zeggen
want ze worden gelijk als idioten neer gezet.
Wat is er mis met het hebben van een eigen mening?
On topic, mij lijkt het een serieus probleem als app gegevens lekken van welke aard dan ook.
Daar zou het over moeten gaan in uw bijdrage.
Doe maar steeds meer gewoon cash. Bank zo snel mogelijk uit faseren.
Mijn overzicht hoeveel nog te besteden doe ik wel middels briefjes en muntjes. Voor de rest gewoon via een dichtgetimmerde browser.
Amazons S3-cloudopslagdienst te benaderen
reden is. Dit geld voor alle apps dus ook die van de overheid en die D66 nog in het verschiet heeft. ik laat me
echt verrassen door de waarheid als die er echt ooit komt, Ps er zijn er die dat weten maar die mogen niets zeggen
want ze worden gelijk als idioten neer gezet.
ROTFLOL.
Jij wilt graag een blikje Consipracy opentrekken. Nou *proost* er op maar ik drink niet met je mee
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.