Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties, 21.561 views •
Submitter: hypetrax

De Android-applicatie van ABN Amro, waarmee klanten geld kunnen overmaken, bevatte een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte.

ABN Amro logoDe ABN Amro-app voor Android controleerde wel of er een ssl-certificaat was, maar niet of de domeinnaam waarvoor het certificaat was uitgegeven wel juist was. Dat schrijven studenten van de Universiteit van Amsterdam in hun onderzoekspaper. Het paper stamt al uit december, maar is nu pas openbaar gemaakt door de universiteit.

Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te ontsleutelen. Daarvoor zou hij of zij eerst de internetverbinding van de gebruiker moeten onderscheppen via een man in the middle-aanval, bijvoorbeeld door een malafide wifi-hotspot op te zetten.

Op 17 december, enkele dagen nadat de studenten hun bevindingen meldden aan de bank, werd een gepatchte versie uitgegeven. Gebruikers die hun app niet hebben bijgewerkt, zijn echter nog steeds kwetsbaar, tekent de universiteit aan. Het is onduidelijk waarom de bank klanten met een onveilige versie van de applicatie niet blokkeert. De bank was niet bereikbaar voor commentaar.

Het is het tweede beveiligingsprobleem bij ABN Amro in een halfjaar tijd. In augustus bleek het mogelijk om het apparaat dat wordt gebruikt om de identiteit van de klant te controleren, te kraken. Transacties konden worden gemanipuleerd, waardoor kwaadwillenden geld zouden kunnen doorsluizen naar hun eigen rekening. Vorig jaar bleek dat de bankier-app van ING het ssl-certificaat van de bank niet controleerde.

Reacties (48)

Reactiefilter:-148047+126+212+31
Moderatie-faq Wijzig weergave
de 2de fout is dat ik geen screenshots meer kan maken van mijn afschrift, erg lastig soms :( dit kon eerder nog wel
Er is een heel makkelijke social-enginering te bedenken om veel mensen bij elkaar te hebben, te laten internetten via jou AP en dan hopen dat er iemand gaat internet bankieren. Denk aan een AP bij Koning(inne)dag, 5 Mei, Lowlands, wat niet al meer.

Hierboven is al eerder gezegd dat het met goedekope hardware en beschikbare (OS?) software kan worden gedaan, je hoeft dan alleen een eigen AP op te zetten, mensen daarop in te laten loggen (Gratis WiFi, iemand?) en te wachten op de pakketten. Als je het bij mij om de hoek gaat doen, hoeft het geen probleem te zijn. In andere gevallen waarschijnlijk wel.
Zoals ik het artikel lees zijn er aantal problemen met de app:
- Eenvoudig te decompilen
Hierdoor is de logica ontdekt van de berichten over de lijn en het RSA gedeelte ontdekt.

- Vertrouwen op HTTPS voor het versturen van de (session) public key
Omdat HTTPS niet goed gecontroleerd wordt is het dus mogelijk deze public key te onderscheppen en te veranderen. Hierdoor kan de gegevensuitwisseling hierna kunnen worden uitgelezen/aangepast.

Ik vraag mij dan af waarom de ABN geen algemene private key gebruikt om het bericht waarmee de session public key verstuurd wordt te encrypten. Op deze manier zal je alleen de public key in de code vinden om de sessionkey te decrypten. Omdat je niet de beschikking hebt over de private key is het niet meer mogelijk om de public key aan te passen.

Vind het altijd een grote hersenkraker dat RSA dus ik ben erg benieuwd of het klopt wat ik zeg :)
Wel superhandig hoor die bankapps alleen voor je saldo en afschrijvingen te controleren dat dan weer wel helaas.
Die kant gaan we toch op alles word digitaal in de toekomst :*)
Het probleem komt niet van 1 kant. Veruit de meeste softwareontwerpers- en bouwers die ik ken willen niks met management te maken hebbe ("suits"). Door de taal van managers te spreken kan je echter behoorlijk wat bereiken, en daar gaat het meestal mis. Als je het management in 2 zinnen de impact van een probleem kunt uitleggen dan wordt er echt wel wat mee gedaan. Je moet alleen niet, zoals ik vorig week meemaakte, over Java classes met de CTO gaan praten.
Zelf geven ze aan dat je aan alle veiligheidsmaatregelen moet voldoen, maar zelf simpel testen of een SSL certificaat gevalideerd wordt, schijnt lastig te zijn.

Da's meer mijn punt.
Ik heb ooit nog rente gekregen op mijn gewone betaalrekening. Was slechts een paar tienden van een procent, maar toch.
Ik kreeg, bij het opstarten van de ABN Amro app, een melding dat er een nieuwe versie was.
En dan geven ze zelf aan dat je als klant - in geval van internetbankier-fraude - aan alle voorzorgsmaatregelen moet voldoen, (....)
En ze updaten niet automatisch hun eigen programma op je telefoon. Zelfs een notificatie op de telefoon is makkelijk, en anders kunnen ze een check op nieuwe versies inbouwen in de eigen app.
Precies. En aangezien het niet controleren van de domeinnaam in een SSL certificaat een beginnersfout is, had dit door de controlerende kant gevonden moeten worden.

Waarom is zoiets als dit er dan doorheen geglipt?

Maar wat nog erger is: Er was heel snel een patch. Prima! Maar de bank heeft niemand ingelicht, waardoor er nog veel mensen zijn die hun software nooit hebben geupdate.

Het is toch echt een management-beslissing geweest om de mensen niet in te lichten.

Ik vind dat erg laakbaar, de bank laat mensen onnodig risico's lopen. Ik zou verwachten dat de verantwoordelijke manager inmiddels thuis sollicitatiebrieven zit te schrijven.

Maar goed, ik ben nooit fan geweest van ABN-AMRO, en ik krijg al jaren alleen maar bevestiging dat dat terecht is.
Naja, goed, het kan ook een software engineer zijn die onvoldoende ervaring heeft.

Maar je zou niet verwachten dat een bank een onervaren software engineer laat werken aan een betaalapplicatie.
Uiteindelijk moet er wel geld verdient worden, dat doe je niet door alle mogelijke veiligheidsvragen te proberen te beantwoorden, zelfs niet bij een bank.
Kijk, en DIT is natuurlijk een ONTZETTEND foute uitspraak...

Als de betaalapp namelijk niet goed is, is het niet de bank die de problemen heeft, maar de gebruiker. De gebruiker kan het natuurlijk weer proberen te verhalen op de bank, maar dat kost hem tijd, geld en stress waar hij niet op zit te wachten.

Wat jij eigenlijk zegt is dat de bank uit winstbejag best bereid mag zijn om zijn klanten risico's te laten lopen...

Ik denk dat veel mensen het daar oneens mee zijn. Een bank heeft een maatschappelijke verantwoordelijkheid, en die verantwoordelijkheid mag simpelweg niet ondergeschikt gesteld worden aan winstbejag. Doordat banken dat wel hebben gedaan zitten we nu in een crisis en kunnen we de komende paar jaar geen cent uitgeven omdat alles aan belasting op gaat.
'Pro Tip': Alle mobiele bank applicaties zijn zo lek als een mandje, weten jullie nog? jaartje geleden hele campagnes tegen phising, en er word al jaaaaaaaren geroepen dat je geen bank zaken over een draadloze verbinding moet doen.

En ja, een telefoon verbind natuurlijk alleen maar draadloos, los van dat de telefoons zelf vaak ook behoorlijk 'lek' zijn, alles is simpel uit te lezen volgens mij.
Uiteindelijk is de Security Manager ook verantwoordelijk voor het advies richting het hoger management. De engineer zal niet snel verantwoordelijk zijn voor dit advies, hooguit voor de correctheid van de gegevens en informatie die hij aanlevert aan de Security Manager.

Als je als bedrijf de controle en adviserende rol bij de uitvoerende kant (System Engineer/Software Engineer) dan ben je sowieso al niet slim bezig. Er moet altijd een scheiding zijn tussen de controlerende (audit) kant en de uitvoerende kant. Anders krijg je belangenverstrengeling.
Ja dit is wel een beetje een aanname hoor.

Er kan ook makkelijk een fout gemaakt zijn, zoals hierboven al aangehaald door raugustinus de verkeerde class gebruikt ofzo.

Uiteindelijk moet er wel geld verdient worden, dat doe je niet door alle mogelijke veiligheidsvragen te proberen te beantwoorden, zelfs niet bij een bank. Dat is meer een taak voor universiteiten en andere bedrijven.
Ja, we zijn over de optimale-product curve heen.

ICT was een progressie-tool , winst opleverend.

Nu is het te grootschalig, divers, en de basis voor 'zaken' waar je dat niet wil.

Oftewel het begript 'TE' veel ict, dus meer fouten, grotere bedragen(danwel meer kleine) weg, WANT gemaakt door feilbare mensen.

Dat crimi's hun best blijven doen en voor blijven lopen vooralsnog zegt gewoon opzich al genoeg.
Het eigen risico en de veiligheids eisen voor de klant zijn sick, nietmand is 100% up to date, ook die banken niet zo blijkt telkens weer. En dan nog...

Ook al word de boef gepakt, hun motto is en blijft 'elke kluis is te kraken'.
Vroeger kon je alleen geld opnemen bij de Balie, tussen 10 uur 's morgens en 4 uur 's middags en niet in het weekend. Dus als je vrijdag vergeten was geld te halen .. kon je niks!.. er waren nog geen ATM's, geen betaalterminals, niks...

Als je geld over ging maken naar iemand anders moest je overboekingsformulieren halen, die invullen en dan in de brievenbus bij de bank gooien.

Je wist pas of je salaris gestort was als je 1x per maand je bankafschrift kreeg.

Dus tja.. zijn we er echt zo op achteruit gegaan?
"Tegelijkertijd moet wij (consument) steeds meer betalen aan bankrekeningen onder het mom van extra beveiligingen ed. Vroeger waren rekeningen gratis!

Wanneer worden hier eens kamervragen over gesteld?"

Waarom ga je niet naar een andere bank? zoals je het zelf al zegt je bent consument dus zij (banken) kunnen geld vragen voor bepaalde/alle diensten.
Ben je het hier niet mee eens kan je altijd nog naar een andere bank.
Hoezo twee maten? Dit is gewoon een bug in de software. Of ben jij of iemand anders door deze bug geld kwijt geraakt en heeft de abn toen gezegd dat je geen compensatie kreeg? Bugje kan voorkomen, hoe slecht dan ook bij zo'n belangrijke app
Dat stond er niet toen ik het artikel las de eerste keer.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True