Onderzoekers: ABN Amro-app bevatte ernstig beveiligingslek
De Android-applicatie van ABN Amro, waarmee klanten geld kunnen overmaken, bevatte een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte.
De ABN Amro-app voor Android controleerde wel of er een ssl-certificaat was, maar niet of de domeinnaam waarvoor het certificaat was uitgegeven wel juist was. Dat schrijven studenten van de Universiteit van Amsterdam in hun onderzoekspaper. Het paper stamt al uit december, maar is nu pas openbaar gemaakt door de universiteit.
Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te ontsleutelen. Daarvoor zou hij of zij eerst de internetverbinding van de gebruiker moeten onderscheppen via een man in the middle-aanval, bijvoorbeeld door een malafide wifi-hotspot op te zetten.
Op 17 december, enkele dagen nadat de studenten hun bevindingen meldden aan de bank, werd een gepatchte versie uitgegeven. Gebruikers die hun app niet hebben bijgewerkt, zijn echter nog steeds kwetsbaar, tekent de universiteit aan. Het is onduidelijk waarom de bank klanten met een onveilige versie van de applicatie niet blokkeert. De bank was niet bereikbaar voor commentaar.
Het is het tweede beveiligingsprobleem bij ABN Amro in een halfjaar tijd. In augustus bleek het mogelijk om het apparaat dat wordt gebruikt om de identiteit van de klant te controleren, te kraken. Transacties konden worden gemanipuleerd, waardoor kwaadwillenden geld zouden kunnen doorsluizen naar hun eigen rekening. Vorig jaar bleek dat de bankier-app van ING het ssl-certificaat van de bank niet controleerde.
Reacties (48)
EDITl: kaasbroodje had hetzellfe idee op hetzelfde moment.
[Reactie gewijzigd door The 7th Guest op woensdag 13 februari 2013 14:17]
Daarbij kun je alleen geld overmaken naar een rekening waarnaar je dat al eerder hebt gedaan.
En over die indentifier, dat was alleen als je hem aan de pc had gekoppeld, verder is het een goede beveiliging. Niks mis mee dus.
Maar het is maakt wel duidelijk waar de risico's zitten. Het is namelijk een delicate grens: Gebruiks gemak tegenover veiligheid. Alles wat voor de consument makkelijker is, is meteen ook minder veilig.
ik zit nu te denken, is mijn 3g verbinding dan wel zo betrouwbaar? of kan het daarbij niet gebeuren ?
Ik vind het wel tof van de bank dat ze na vier dagen al een update uitbrengen nadat het probleem aan ze gemeld is.On Tuesday December 18th, 2012, only four days after being informed about the issue,
ABN AMRO released a new version of the Android Application in the Google Play store,
patching the issues described in this paper.
Zo zou het altijd moeten gaan, niet meteen aangifte doen bij de politie ofzo.
Nou maar hopen dat er niet teveel geld gejat is en dat de klanten het terug krijgen.
Anders gaat de prijs van de betaalpakketten straks weer omhoog, of zouden ze hier voor verzekerd zijn?
[Reactie gewijzigd door Soldaatje op woensdag 13 februari 2013 14:24]
De software hiervoor is gewoon vrijelijk beschikbaar, de hardware is ook niet vreselijk duur.
Terwijl ze dat zelf helemaal niet doen.
Hoezo met twee maten meten??
-De boef moet eerst het internetverkeer van de telefoon onderscheppen
-Dan wachten totdat er iemand langs komt met een android toestel
-Dan hopen dat diegene zijn ABN-AMRO APP opstart
-Dan kan je de "pincode' onderscheppen (zoals er staat in het originele artikel) maar dit is niet juist, de code die je gebruikt in de app is anders als die EMV chip staat
Als iemand dus AL die moeite heeft gedaan kunnen ze geld overmaken naar mijn eigen glazenwasser of iemand anders met wie ik zaken doe...
Ik vraag me af of het echt wel de moeite loont om dit uit te voeren, ik denk dat zakkenrollen sneller geld oplevert.
[Reactie gewijzigd door Alcmaria op woensdag 13 februari 2013 14:34]
Ook als ze het verkeer onderscheppen en het bedrag en rekening wijzigen lijkt mij dat dit rekeningnummer bij verificatie niet gebruikt is en wordt de betaling afgekeurd.
De oude app blokkeren hadden ze ook kunnen doen, maar die schijnt nog steeds bruikbaar te zijn.
Tof van ze!
Ik denk dat de interne huishouding aan de kaak gesteld moet worden. Want het is schandalig dat dit soort zaken nog steeds kunnen gebeuren. En kennelijk is de imagoschade niet groot genoeg dat ze hier nog steeds geen adequate maatregelen voor nemen. Je zou verwachten dat met de peperdure ontwikkelstraten en protocollen dit soort zaken niet kunnen gebeuren.
Tegelijkertijd moet wij (consument) steeds meer betalen aan bankrekeningen onder het mom van extra beveiligingen ed. Vroeger waren rekeningen gratis!
Wanneer worden hier eens kamervragen over gesteld?
Wanneer worden hier eens kamervragen over gesteld?"
Waarom ga je niet naar een andere bank? zoals je het zelf al zegt je bent consument dus zij (banken) kunnen geld vragen voor bepaalde/alle diensten.
Ben je het hier niet mee eens kan je altijd nog naar een andere bank.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
