Onderzoekers: ABN Amro-app bevatte ernstig beveiligingslek
De Android-applicatie van ABN Amro, waarmee klanten geld kunnen overmaken, bevatte een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte.
De ABN Amro-app voor Android controleerde wel of er een ssl-certificaat was, maar niet of de domeinnaam waarvoor het certificaat was uitgegeven wel juist was. Dat schrijven studenten van de Universiteit van Amsterdam in hun onderzoekspaper. Het paper stamt al uit december, maar is nu pas openbaar gemaakt door de universiteit.
Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te ontsleutelen. Daarvoor zou hij of zij eerst de internetverbinding van de gebruiker moeten onderscheppen via een man in the middle-aanval, bijvoorbeeld door een malafide wifi-hotspot op te zetten.
Op 17 december, enkele dagen nadat de studenten hun bevindingen meldden aan de bank, werd een gepatchte versie uitgegeven. Gebruikers die hun app niet hebben bijgewerkt, zijn echter nog steeds kwetsbaar, tekent de universiteit aan. Het is onduidelijk waarom de bank klanten met een onveilige versie van de applicatie niet blokkeert. De bank was niet bereikbaar voor commentaar.
Het is het tweede beveiligingsprobleem bij ABN Amro in een halfjaar tijd. In augustus bleek het mogelijk om het apparaat dat wordt gebruikt om de identiteit van de klant te controleren, te kraken. Transacties konden worden gemanipuleerd, waardoor kwaadwillenden geld zouden kunnen doorsluizen naar hun eigen rekening. Vorig jaar bleek dat de bankier-app van ING het ssl-certificaat van de bank niet controleerde.
Reacties (48)
Geldt dit voor alle platformen waar deze app voor gemaakt is ? Ik bedoel er is een app voor iOS, Anrdroid en Windows Phone....
staat in de inleiding alleen de android app
Dat stond er niet toen ik het artikel las de eerste keer.
Ja alleen voor de Android app. We hebben ook naar de andere apps gekeken, deze hadden het probleem niet.
Volgens mij toch niet, want de app controleert niet of de ssl-certificaat klopte.
De Android app deed dat wel maar......, dat doet mij denken dat het dus niet alleen android is maar ook voor IOS of Windows.
De Android app deed dat wel maar......, dat doet mij denken dat het dus niet alleen android is maar ook voor IOS of Windows.
Ik ben geen programmeur maar ik vermoed dat de libraries in de Android App niet juist gebruikt werden. De andere apps hebben we wel degelijk getest en die hadden het probleem niet.
Deze app is zeer handig, maar ik zie ook wel problemen. Ik heb de app zo ingesteld dat er geen geld via de app kan worden overgemaakt: ¤ 0. Dit kun je binnen de app instellen en zo kan er - volgens mij - geen geld verdwijnen. Betalen doe ik via de e-dentifier, de app om snel ,mijn saldo en evt. af- en bijschrijvingen te zien.
EDITl: kaasbroodje had hetzellfe idee op hetzelfde moment.
EDITl: kaasbroodje had hetzellfe idee op hetzelfde moment.
[Reactie gewijzigd door The 7th Guest op 13 februari 2013 14:17]
Ik heb mijn limiet hoger staan dan die 0 euro, maar je kunt alleen maar naar rekening nummer overmaken waar je de afgelopen 1 1/2 jaar al eerder geld naar over hebt gemaakt. Anders wordt er gevraagd om een code via de edentifier. Dus er kan niet zomaar naar een random account overgemaakt worden.
Ik gebruik deze app alleen om saldo te controleren, het maximaal bedrag wat via deze app overgemaakt kan worden staat bij mij op 0 euro.
Daarbij kun je alleen geld overmaken naar een rekening waarnaar je dat al eerder hebt gedaan.
En over die indentifier, dat was alleen als je hem aan de pc had gekoppeld, verder is het een goede beveiliging. Niks mis mee dus.
Maar het is maakt wel duidelijk waar de risico's zitten. Het is namelijk een delicate grens: Gebruiks gemak tegenover veiligheid. Alles wat voor de consument makkelijker is, is meteen ook minder veilig.
Daarbij kun je alleen geld overmaken naar een rekening waarnaar je dat al eerder hebt gedaan.
En over die indentifier, dat was alleen als je hem aan de pc had gekoppeld, verder is het een goede beveiliging. Niks mis mee dus.
Maar het is maakt wel duidelijk waar de risico's zitten. Het is namelijk een delicate grens: Gebruiks gemak tegenover veiligheid. Alles wat voor de consument makkelijker is, is meteen ook minder veilig.
hmm dus het betekend dat dat alleen kan als je op een ander wifi zit waarbij diegene jou pakketten kan manipuleren. betekent dat dan ook dat de waardes(¤) konden worden aangepast?
ik zit nu te denken, is mijn 3g verbinding dan wel zo betrouwbaar? of kan het daarbij niet gebeuren ?
ik zit nu te denken, is mijn 3g verbinding dan wel zo betrouwbaar? of kan het daarbij niet gebeuren ?
3g is redelijk eenvoudig te onderscheppen. Het enige wat je hoeft te doen is een eigen netwerk op te zetten. De gegevens die je binnenkrijgt proxy je dan door naar het mobiele netwerk.
De software hiervoor is gewoon vrijelijk beschikbaar, de hardware is ook niet vreselijk duur.
De software hiervoor is gewoon vrijelijk beschikbaar, de hardware is ook niet vreselijk duur.
Ik vind het wel tof van de bank dat ze na vier dagen al een update uitbrengen nadat het probleem aan ze gemeld is.On Tuesday December 18th, 2012, only four days after being informed about the issue,
ABN AMRO released a new version of the Android Application in the Google Play store,
patching the issues described in this paper.
Zo zou het altijd moeten gaan, niet meteen aangifte doen bij de politie ofzo.
Nou maar hopen dat er niet teveel geld gejat is en dat de klanten het terug krijgen.
Anders gaat de prijs van de betaalpakketten straks weer omhoog, of zouden ze hier voor verzekerd zijn?
[Reactie gewijzigd door Soldaatje op 13 februari 2013 14:24]
Maar zou het niet nog "toffer" zijn als ze het in de basis op orde hebben? Hoezo geen certificaat controle...
De oude app blokkeren hadden ze ook kunnen doen, maar die schijnt nog steeds bruikbaar te zijn.
Tof van ze!
De oude app blokkeren hadden ze ook kunnen doen, maar die schijnt nog steeds bruikbaar te zijn.
Tof van ze!
Het is al schandalig dat SSL functionaliteit voor uitgerekend BANK TRANSACTIES niet wordt getest! Als er iets goed versleuteld moet worden is het dat wel. En dat je de SSL data kan ontcijferen tot daar aan toe, maar dat je het bericht ook nog kan aanpassen en doorsturen is helemaal belachelijk. Een bank hoort zijn al berichten te signeren. Daar heb je een standaard voor.
En dan geven ze zelf aan dat je als klant - in geval van internetbankier-fraude - aan alle voorzorgsmaatregelen moet voldoen, zoals gepatchte PC, alle security updates geinstalleerd, controleren op SSL certificaat, om in aanmerking te komen voor restitutie van het fraudebedrag.
Terwijl ze dat zelf helemaal niet doen.
Hoezo met twee maten meten??
Terwijl ze dat zelf helemaal niet doen.
Hoezo met twee maten meten??
Hoezo twee maten? Dit is gewoon een bug in de software. Of ben jij of iemand anders door deze bug geld kwijt geraakt en heeft de abn toen gezegd dat je geen compensatie kreeg? Bugje kan voorkomen, hoe slecht dan ook bij zo'n belangrijke app
Zelf geven ze aan dat je aan alle veiligheidsmaatregelen moet voldoen, maar zelf simpel testen of een SSL certificaat gevalideerd wordt, schijnt lastig te zijn.
Da's meer mijn punt.
Da's meer mijn punt.
En ze updaten niet automatisch hun eigen programma op je telefoon. Zelfs een notificatie op de telefoon is makkelijk, en anders kunnen ze een check op nieuwe versies inbouwen in de eigen app.En dan geven ze zelf aan dat je als klant - in geval van internetbankier-fraude - aan alle voorzorgsmaatregelen moet voldoen, (....)
Ik kreeg, bij het opstarten van de ABN Amro app, een melding dat er een nieuwe versie was.
Wat ik vooral ernstig vind is dat ABN niet zelf meteen is gaan checken of haar app wel veilig was nadat bij ING precies dit lek al was gevonden. Wat dat betreft was dit een makkelijke opdracht voor de studenten, gewoon lekken bij andere banken nalopen. Dat kunnen criminelen dus ook doen.
Ze gaven aan dat ze dit wel deden, maar dan enkel met een self signed certificate. Wij hebben een certificaat voor ons eigen domein gebruikt, wat gesigned was door een trusted third party.
De eerste keer dat je geld overmaakt via de app, moet je de edentifier gebruiken, dus zul je al geld moeten hebben overgemaakt naar de kwaadwillende. Daarnaast moet je bij bedragen boven de ¤500,- sowieso de edentifier gebruiken.
Alleen, als je het verkeer opvangt kun je het ook aanpassen.
Dus als ik 10 euro wil overmaken, de tussenpersoon maakt daar 500 van en stuurt dat naar de abnamro website. Die stuurt iets terug met een code die je moet invoeren, de tussenpersoon vervangt de bedragen erin en mogelijk de tekst en je bent klaar..
80% van de mensen controleren niet in het tussenliggend scherm of de tekst die ze zien (oftewel het stappenplan) nog gelijk is en wat ze normaal zien.
(overigens ben ik hier even uitgegaan van de rabobank schermen, geen idee welke schermen/stappen er bij de abn amro voorbij komen).
Dus als ik 10 euro wil overmaken, de tussenpersoon maakt daar 500 van en stuurt dat naar de abnamro website. Die stuurt iets terug met een code die je moet invoeren, de tussenpersoon vervangt de bedragen erin en mogelijk de tekst en je bent klaar..
80% van de mensen controleren niet in het tussenliggend scherm of de tekst die ze zien (oftewel het stappenplan) nog gelijk is en wat ze normaal zien.
(overigens ben ik hier even uitgegaan van de rabobank schermen, geen idee welke schermen/stappen er bij de abn amro voorbij komen).
Dus..
-De boef moet eerst het internetverkeer van de telefoon onderscheppen
-Dan wachten totdat er iemand langs komt met een android toestel
-Dan hopen dat diegene zijn ABN-AMRO APP opstart
-Dan kan je de "pincode' onderscheppen (zoals er staat in het originele artikel) maar dit is niet juist, de code die je gebruikt in de app is anders als die EMV chip staat
Als iemand dus AL die moeite heeft gedaan kunnen ze geld overmaken naar mijn eigen glazenwasser of iemand anders met wie ik zaken doe...
Ik vraag me af of het echt wel de moeite loont om dit uit te voeren, ik denk dat zakkenrollen sneller geld oplevert.
-De boef moet eerst het internetverkeer van de telefoon onderscheppen
-Dan wachten totdat er iemand langs komt met een android toestel
-Dan hopen dat diegene zijn ABN-AMRO APP opstart
-Dan kan je de "pincode' onderscheppen (zoals er staat in het originele artikel) maar dit is niet juist, de code die je gebruikt in de app is anders als die EMV chip staat
Als iemand dus AL die moeite heeft gedaan kunnen ze geld overmaken naar mijn eigen glazenwasser of iemand anders met wie ik zaken doe...
Ik vraag me af of het echt wel de moeite loont om dit uit te voeren, ik denk dat zakkenrollen sneller geld oplevert.
[Reactie gewijzigd door Alcmaria op 13 februari 2013 14:34]
Ja een 'boef' kan er eigenlijk niet zoveel mee, of het moet een heel ingewikkelde constructie worden. Je moet namelijk een rekening gebruiken die je eerder (meen een jaar terug maximaal) hebt gebruikt in het telebankieren.
Ook als ze het verkeer onderscheppen en het bedrag en rekening wijzigen lijkt mij dat dit rekeningnummer bij verificatie niet gebruikt is en wordt de betaling afgekeurd.
Ook als ze het verkeer onderscheppen en het bedrag en rekening wijzigen lijkt mij dat dit rekeningnummer bij verificatie niet gebruikt is en wordt de betaling afgekeurd.
Helaas is dat geen enkel probleem. Als iemand al een grotere transactie heeft staan (default limieten kan je aanhouden als malafide app) dan krijg je, tot een bepaald totaalbedrag, alleen 1 willekeurig gekozen code die je op je eDentifier moet invoeren. Ook kan je daarna de malafide transacties filteren in het overzichtsscherm.
En nog mooier: nadat iemand 1x zo'n transactie heeft geaccordeerd kan de boef per dag het maximumbedrag overmaken naar zijn rekening, tot hij gepakt wordt, zodra hij 1x de pincode 'ziet' (bijv bij het inloggen).
En nog mooier: nadat iemand 1x zo'n transactie heeft geaccordeerd kan de boef per dag het maximumbedrag overmaken naar zijn rekening, tot hij gepakt wordt, zodra hij 1x de pincode 'ziet' (bijv bij het inloggen).
Inderdaad, hoewel dit zeer ernstig is (het niet controleren van het certificaat), is er niet een zeer grote dreiging geweest volgens mij.
Ik denk dat de interne huishouding aan de kaak gesteld moet worden. Want het is schandalig dat dit soort zaken nog steeds kunnen gebeuren. En kennelijk is de imagoschade niet groot genoeg dat ze hier nog steeds geen adequate maatregelen voor nemen. Je zou verwachten dat met de peperdure ontwikkelstraten en protocollen dit soort zaken niet kunnen gebeuren.
Tegelijkertijd moet wij (consument) steeds meer betalen aan bankrekeningen onder het mom van extra beveiligingen ed. Vroeger waren rekeningen gratis!
Wanneer worden hier eens kamervragen over gesteld?
Ik denk dat de interne huishouding aan de kaak gesteld moet worden. Want het is schandalig dat dit soort zaken nog steeds kunnen gebeuren. En kennelijk is de imagoschade niet groot genoeg dat ze hier nog steeds geen adequate maatregelen voor nemen. Je zou verwachten dat met de peperdure ontwikkelstraten en protocollen dit soort zaken niet kunnen gebeuren.
Tegelijkertijd moet wij (consument) steeds meer betalen aan bankrekeningen onder het mom van extra beveiligingen ed. Vroeger waren rekeningen gratis!
Wanneer worden hier eens kamervragen over gesteld?
"Tegelijkertijd moet wij (consument) steeds meer betalen aan bankrekeningen onder het mom van extra beveiligingen ed. Vroeger waren rekeningen gratis!
Wanneer worden hier eens kamervragen over gesteld?"
Waarom ga je niet naar een andere bank? zoals je het zelf al zegt je bent consument dus zij (banken) kunnen geld vragen voor bepaalde/alle diensten.
Ben je het hier niet mee eens kan je altijd nog naar een andere bank.
Wanneer worden hier eens kamervragen over gesteld?"
Waarom ga je niet naar een andere bank? zoals je het zelf al zegt je bent consument dus zij (banken) kunnen geld vragen voor bepaalde/alle diensten.
Ben je het hier niet mee eens kan je altijd nog naar een andere bank.
Ik heb ooit nog rente gekregen op mijn gewone betaalrekening. Was slechts een paar tienden van een procent, maar toch.
Vroeger kon je alleen geld opnemen bij de Balie, tussen 10 uur 's morgens en 4 uur 's middags en niet in het weekend. Dus als je vrijdag vergeten was geld te halen .. kon je niks!.. er waren nog geen ATM's, geen betaalterminals, niks...
Als je geld over ging maken naar iemand anders moest je overboekingsformulieren halen, die invullen en dan in de brievenbus bij de bank gooien.
Je wist pas of je salaris gestort was als je 1x per maand je bankafschrift kreeg.
Dus tja.. zijn we er echt zo op achteruit gegaan?
Als je geld over ging maken naar iemand anders moest je overboekingsformulieren halen, die invullen en dan in de brievenbus bij de bank gooien.
Je wist pas of je salaris gestort was als je 1x per maand je bankafschrift kreeg.
Dus tja.. zijn we er echt zo op achteruit gegaan?
Ja, we zijn over de optimale-product curve heen.
ICT was een progressie-tool , winst opleverend.
Nu is het te grootschalig, divers, en de basis voor 'zaken' waar je dat niet wil.
Oftewel het begript 'TE' veel ict, dus meer fouten, grotere bedragen(danwel meer kleine) weg, WANT gemaakt door feilbare mensen.
Dat crimi's hun best blijven doen en voor blijven lopen vooralsnog zegt gewoon opzich al genoeg.
Het eigen risico en de veiligheids eisen voor de klant zijn sick, nietmand is 100% up to date, ook die banken niet zo blijkt telkens weer. En dan nog...
Ook al word de boef gepakt, hun motto is en blijft 'elke kluis is te kraken'.
ICT was een progressie-tool , winst opleverend.
Nu is het te grootschalig, divers, en de basis voor 'zaken' waar je dat niet wil.
Oftewel het begript 'TE' veel ict, dus meer fouten, grotere bedragen(danwel meer kleine) weg, WANT gemaakt door feilbare mensen.
Dat crimi's hun best blijven doen en voor blijven lopen vooralsnog zegt gewoon opzich al genoeg.
Het eigen risico en de veiligheids eisen voor de klant zijn sick, nietmand is 100% up to date, ook die banken niet zo blijkt telkens weer. En dan nog...
Ook al word de boef gepakt, hun motto is en blijft 'elke kluis is te kraken'.
Punt 1: Da's niet zo moeilijk. Veel gebruikers hebben 'automatically connect to wifi' aan staan, dus je hoeft bij de supermarkt of pompstation alleen maar een open wifi hotspot neer te zetten. De telefoon doet de rest.-De boef moet eerst het internetverkeer van de telefoon onderscheppen
-Dan wachten totdat er iemand langs komt met een android toestel
-Dan hopen dat diegene zijn ABN-AMRO APP opstart
-Dan kan je de "pincode' onderscheppen (zoals er staat in het originele artikel) maar dit is niet juist, de code die je gebruikt in de app is anders als die EMV chip staat
Punt 2: Er zijn ontzettend veel mensen met een Android toestel. En pompstations hebben ontzettend veel klanten.
Punt 3: Bij een pompstation is de kans groot dat dat gebeurt. Tenzij de app gewoon onhandig is.
Punt 4: Als je die pincode hebt, kun je in ieder geval als man-in-the-middel zelf een transactie in elkaar frutselen en die authoriseren. De SSL connectie met de bank heb je al, en de code krijg je van de Android telefoon. Simpel om achter de transactie van de telefoon nog even snel je eigen transactie te sturen die eenzelfde bedrag overmaakt, maar dan naar jouw eigen rekening.
Of om het rekeningnummer van het pompstation te vervangen door je eigen rekeningnummer, en gewoon het geld te stelen. Dan gaat als klant je betaling aan het pompstation wel niet door, maar dat is niet het probleem van de hacker.
Er zit nog meer aan vast, want het geld moet weer weggesluisd worden van de rekening naar een anonieme rekening. Maar dat zijn technicalities.
Je zit ernaast. We hoeven enkel de DNS entry naar www.abnamro.nl aan te passen.
Dit kan bijvoorbeeld door:
-DNS Poisoning.
-Malware die de hostfile aanpast op de telefoon.
-Een "onveilig" wifi netwerk.
Geld moet juist overgemaakt worden naar een rekening die niet eerder gebruikt is (waarvoor dus een e-dentifier nodig is) om de transactie te kunnen aanpassen.
Is dit een hack die een kwaadwillende veel geld oplevert? Nee... Toch is het spijtig dat deze fout in de app zat. Ik wil namelijk liever niet dat andere mensen inzicht hebben in mijn financiele zaken, dat is prive.
Daarnaast gebruiken veel mensen een pin-code in de applicatie waarin hun daadwerkelijke pin-code (van hun bankpas) zit verwerkt.
Dit kan bijvoorbeeld door:
-DNS Poisoning.
-Malware die de hostfile aanpast op de telefoon.
-Een "onveilig" wifi netwerk.
Geld moet juist overgemaakt worden naar een rekening die niet eerder gebruikt is (waarvoor dus een e-dentifier nodig is) om de transactie te kunnen aanpassen.
Is dit een hack die een kwaadwillende veel geld oplevert? Nee... Toch is het spijtig dat deze fout in de app zat. Ik wil namelijk liever niet dat andere mensen inzicht hebben in mijn financiele zaken, dat is prive.
Daarnaast gebruiken veel mensen een pin-code in de applicatie waarin hun daadwerkelijke pin-code (van hun bankpas) zit verwerkt.
Er is een heel makkelijke social-enginering te bedenken om veel mensen bij elkaar te hebben, te laten internetten via jou AP en dan hopen dat er iemand gaat internet bankieren. Denk aan een AP bij Koning(inne)dag, 5 Mei, Lowlands, wat niet al meer.
Hierboven is al eerder gezegd dat het met goedekope hardware en beschikbare (OS?) software kan worden gedaan, je hoeft dan alleen een eigen AP op te zetten, mensen daarop in te laten loggen (Gratis WiFi, iemand?) en te wachten op de pakketten. Als je het bij mij om de hoek gaat doen, hoeft het geen probleem te zijn. In andere gevallen waarschijnlijk wel.
Hierboven is al eerder gezegd dat het met goedekope hardware en beschikbare (OS?) software kan worden gedaan, je hoeft dan alleen een eigen AP op te zetten, mensen daarop in te laten loggen (Gratis WiFi, iemand?) en te wachten op de pakketten. Als je het bij mij om de hoek gaat doen, hoeft het geen probleem te zijn. In andere gevallen waarschijnlijk wel.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
