Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 48, views: 20.969 •
Submitter: hypetrax

De Android-applicatie van ABN Amro, waarmee klanten geld kunnen overmaken, bevatte een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte.

ABN Amro logoDe ABN Amro-app voor Android controleerde wel of er een ssl-certificaat was, maar niet of de domeinnaam waarvoor het certificaat was uitgegeven wel juist was. Dat schrijven studenten van de Universiteit van Amsterdam in hun onderzoekspaper. Het paper stamt al uit december, maar is nu pas openbaar gemaakt door de universiteit.

Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te ontsleutelen. Daarvoor zou hij of zij eerst de internetverbinding van de gebruiker moeten onderscheppen via een man in the middle-aanval, bijvoorbeeld door een malafide wifi-hotspot op te zetten.

Op 17 december, enkele dagen nadat de studenten hun bevindingen meldden aan de bank, werd een gepatchte versie uitgegeven. Gebruikers die hun app niet hebben bijgewerkt, zijn echter nog steeds kwetsbaar, tekent de universiteit aan. Het is onduidelijk waarom de bank klanten met een onveilige versie van de applicatie niet blokkeert. De bank was niet bereikbaar voor commentaar.

Het is het tweede beveiligingsprobleem bij ABN Amro in een halfjaar tijd. In augustus bleek het mogelijk om het apparaat dat wordt gebruikt om de identiteit van de klant te controleren, te kraken. Transacties konden worden gemanipuleerd, waardoor kwaadwillenden geld zouden kunnen doorsluizen naar hun eigen rekening. Vorig jaar bleek dat de bankier-app van ING het ssl-certificaat van de bank niet controleerde.

Reacties (48)

Geldt dit voor alle platformen waar deze app voor gemaakt is ? Ik bedoel er is een app voor iOS, Anrdroid en Windows Phone....
Deze app is zeer handig, maar ik zie ook wel problemen. Ik heb de app zo ingesteld dat er geen geld via de app kan worden overgemaakt: 0. Dit kun je binnen de app instellen en zo kan er - volgens mij - geen geld verdwijnen. Betalen doe ik via de e-dentifier, de app om snel ,mijn saldo en evt. af- en bijschrijvingen te zien.
EDITl: kaasbroodje had hetzellfe idee op hetzelfde moment.

[Reactie gewijzigd door The 7th Guest op 13 februari 2013 14:17]

Ik gebruik deze app alleen om saldo te controleren, het maximaal bedrag wat via deze app overgemaakt kan worden staat bij mij op 0 euro.

Daarbij kun je alleen geld overmaken naar een rekening waarnaar je dat al eerder hebt gedaan.
En over die indentifier, dat was alleen als je hem aan de pc had gekoppeld, verder is het een goede beveiliging. Niks mis mee dus.

Maar het is maakt wel duidelijk waar de risico's zitten. Het is namelijk een delicate grens: Gebruiks gemak tegenover veiligheid. Alles wat voor de consument makkelijker is, is meteen ook minder veilig.
hmm dus het betekend dat dat alleen kan als je op een ander wifi zit waarbij diegene jou pakketten kan manipuleren. betekent dat dan ook dat de waardes() konden worden aangepast?
ik zit nu te denken, is mijn 3g verbinding dan wel zo betrouwbaar? of kan het daarbij niet gebeuren ?
staat in de inleiding alleen de android app
Dat stond er niet toen ik het artikel las de eerste keer.
On Tuesday December 18th, 2012, only four days after being informed about the issue,
ABN AMRO released a new version of the Android Application in the Google Play store,
patching the issues described in this paper.
Ik vind het wel tof van de bank dat ze na vier dagen al een update uitbrengen nadat het probleem aan ze gemeld is.
Zo zou het altijd moeten gaan, niet meteen aangifte doen bij de politie ofzo.

Nou maar hopen dat er niet teveel geld gejat is en dat de klanten het terug krijgen.
Anders gaat de prijs van de betaalpakketten straks weer omhoog, of zouden ze hier voor verzekerd zijn?

[Reactie gewijzigd door Soldaatje op 13 februari 2013 14:24]

3g is redelijk eenvoudig te onderscheppen. Het enige wat je hoeft te doen is een eigen netwerk op te zetten. De gegevens die je binnenkrijgt proxy je dan door naar het mobiele netwerk.

De software hiervoor is gewoon vrijelijk beschikbaar, de hardware is ook niet vreselijk duur.
En dan geven ze zelf aan dat je als klant - in geval van internetbankier-fraude - aan alle voorzorgsmaatregelen moet voldoen, zoals gepatchte PC, alle security updates geinstalleerd, controleren op SSL certificaat, om in aanmerking te komen voor restitutie van het fraudebedrag.

Terwijl ze dat zelf helemaal niet doen.

Hoezo met twee maten meten??
Wat ik vooral ernstig vind is dat ABN niet zelf meteen is gaan checken of haar app wel veilig was nadat bij ING precies dit lek al was gevonden. Wat dat betreft was dit een makkelijke opdracht voor de studenten, gewoon lekken bij andere banken nalopen. Dat kunnen criminelen dus ook doen.
Ik heb mijn limiet hoger staan dan die 0 euro, maar je kunt alleen maar naar rekening nummer overmaken waar je de afgelopen 1 1/2 jaar al eerder geld naar over hebt gemaakt. Anders wordt er gevraagd om een code via de edentifier. Dus er kan niet zomaar naar een random account overgemaakt worden.
De eerste keer dat je geld overmaakt via de app, moet je de edentifier gebruiken, dus zul je al geld moeten hebben overgemaakt naar de kwaadwillende. Daarnaast moet je bij bedragen boven de 500,- sowieso de edentifier gebruiken.
Dus..

-De boef moet eerst het internetverkeer van de telefoon onderscheppen
-Dan wachten totdat er iemand langs komt met een android toestel
-Dan hopen dat diegene zijn ABN-AMRO APP opstart
-Dan kan je de "pincode' onderscheppen (zoals er staat in het originele artikel) maar dit is niet juist, de code die je gebruikt in de app is anders als die EMV chip staat

Als iemand dus AL die moeite heeft gedaan kunnen ze geld overmaken naar mijn eigen glazenwasser of iemand anders met wie ik zaken doe...

Ik vraag me af of het echt wel de moeite loont om dit uit te voeren, ik denk dat zakkenrollen sneller geld oplevert.

[Reactie gewijzigd door Alcmaria op 13 februari 2013 14:34]

Hoezo twee maten? Dit is gewoon een bug in de software. Of ben jij of iemand anders door deze bug geld kwijt geraakt en heeft de abn toen gezegd dat je geen compensatie kreeg? Bugje kan voorkomen, hoe slecht dan ook bij zo'n belangrijke app
Ja een 'boef' kan er eigenlijk niet zoveel mee, of het moet een heel ingewikkelde constructie worden. Je moet namelijk een rekening gebruiken die je eerder (meen een jaar terug maximaal) hebt gebruikt in het telebankieren.

Ook als ze het verkeer onderscheppen en het bedrag en rekening wijzigen lijkt mij dat dit rekeningnummer bij verificatie niet gebruikt is en wordt de betaling afgekeurd.
Maar zou het niet nog "toffer" zijn als ze het in de basis op orde hebben? Hoezo geen certificaat controle...

De oude app blokkeren hadden ze ook kunnen doen, maar die schijnt nog steeds bruikbaar te zijn.

Tof van ze! |:(
Inderdaad, hoewel dit zeer ernstig is (het niet controleren van het certificaat), is er niet een zeer grote dreiging geweest volgens mij.

Ik denk dat de interne huishouding aan de kaak gesteld moet worden. Want het is schandalig dat dit soort zaken nog steeds kunnen gebeuren. En kennelijk is de imagoschade niet groot genoeg dat ze hier nog steeds geen adequate maatregelen voor nemen. Je zou verwachten dat met de peperdure ontwikkelstraten en protocollen dit soort zaken niet kunnen gebeuren.

Tegelijkertijd moet wij (consument) steeds meer betalen aan bankrekeningen onder het mom van extra beveiligingen ed. Vroeger waren rekeningen gratis!

Wanneer worden hier eens kamervragen over gesteld?
Ja alleen voor de Android app. We hebben ook naar de andere apps gekeken, deze hadden het probleem niet.
"Tegelijkertijd moet wij (consument) steeds meer betalen aan bankrekeningen onder het mom van extra beveiligingen ed. Vroeger waren rekeningen gratis!

Wanneer worden hier eens kamervragen over gesteld?"

Waarom ga je niet naar een andere bank? zoals je het zelf al zegt je bent consument dus zij (banken) kunnen geld vragen voor bepaalde/alle diensten.
Ben je het hier niet mee eens kan je altijd nog naar een andere bank.

Op dit item kan niet meer gereageerd worden.