Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties, 21.623 views •
Submitter: hypetrax

De Android-applicatie van ABN Amro, waarmee klanten geld kunnen overmaken, bevatte een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte.

ABN Amro logoDe ABN Amro-app voor Android controleerde wel of er een ssl-certificaat was, maar niet of de domeinnaam waarvoor het certificaat was uitgegeven wel juist was. Dat schrijven studenten van de Universiteit van Amsterdam in hun onderzoekspaper. Het paper stamt al uit december, maar is nu pas openbaar gemaakt door de universiteit.

Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te ontsleutelen. Daarvoor zou hij of zij eerst de internetverbinding van de gebruiker moeten onderscheppen via een man in the middle-aanval, bijvoorbeeld door een malafide wifi-hotspot op te zetten.

Op 17 december, enkele dagen nadat de studenten hun bevindingen meldden aan de bank, werd een gepatchte versie uitgegeven. Gebruikers die hun app niet hebben bijgewerkt, zijn echter nog steeds kwetsbaar, tekent de universiteit aan. Het is onduidelijk waarom de bank klanten met een onveilige versie van de applicatie niet blokkeert. De bank was niet bereikbaar voor commentaar.

Het is het tweede beveiligingsprobleem bij ABN Amro in een halfjaar tijd. In augustus bleek het mogelijk om het apparaat dat wordt gebruikt om de identiteit van de klant te controleren, te kraken. Transacties konden worden gemanipuleerd, waardoor kwaadwillenden geld zouden kunnen doorsluizen naar hun eigen rekening. Vorig jaar bleek dat de bankier-app van ING het ssl-certificaat van de bank niet controleerde.

Reacties (48)

Reactiefilter:-148047+126+212+31
Moderatie-faq Wijzig weergave
de 2de fout is dat ik geen screenshots meer kan maken van mijn afschrift, erg lastig soms :( dit kon eerder nog wel
Zoals ik het artikel lees zijn er aantal problemen met de app:
- Eenvoudig te decompilen
Hierdoor is de logica ontdekt van de berichten over de lijn en het RSA gedeelte ontdekt.

- Vertrouwen op HTTPS voor het versturen van de (session) public key
Omdat HTTPS niet goed gecontroleerd wordt is het dus mogelijk deze public key te onderscheppen en te veranderen. Hierdoor kan de gegevensuitwisseling hierna kunnen worden uitgelezen/aangepast.

Ik vraag mij dan af waarom de ABN geen algemene private key gebruikt om het bericht waarmee de session public key verstuurd wordt te encrypten. Op deze manier zal je alleen de public key in de code vinden om de sessionkey te decrypten. Omdat je niet de beschikking hebt over de private key is het niet meer mogelijk om de public key aan te passen.

Vind het altijd een grote hersenkraker dat RSA dus ik ben erg benieuwd of het klopt wat ik zeg :)
Wel superhandig hoor die bankapps alleen voor je saldo en afschrijvingen te controleren dat dan weer wel helaas.
Die kant gaan we toch op alles word digitaal in de toekomst :*)
'Pro Tip': Alle mobiele bank applicaties zijn zo lek als een mandje, weten jullie nog? jaartje geleden hele campagnes tegen phising, en er word al jaaaaaaaren geroepen dat je geen bank zaken over een draadloze verbinding moet doen.

En ja, een telefoon verbind natuurlijk alleen maar draadloos, los van dat de telefoons zelf vaak ook behoorlijk 'lek' zijn, alles is simpel uit te lezen volgens mij.
hmm dus het betekend dat dat alleen kan als je op een ander wifi zit waarbij diegene jou pakketten kan manipuleren. betekent dat dan ook dat de waardes() konden worden aangepast?
ik zit nu te denken, is mijn 3g verbinding dan wel zo betrouwbaar? of kan het daarbij niet gebeuren ?
3g is redelijk eenvoudig te onderscheppen. Het enige wat je hoeft te doen is een eigen netwerk op te zetten. De gegevens die je binnenkrijgt proxy je dan door naar het mobiele netwerk.

De software hiervoor is gewoon vrijelijk beschikbaar, de hardware is ook niet vreselijk duur.
Interessant, waarschijnlijk gebruikt ABN de http://developer.android....ificateSocketFactory.html ipv de http://developer.android....l/HttpsURLConnection.html welke standaard al de hostname verification doet.

Waarschijnlijk wel een beetje slordig tenzij ABN geen HTTP gebruikt voor de communicatie met hun servers.
En dan geven ze zelf aan dat je als klant - in geval van internetbankier-fraude - aan alle voorzorgsmaatregelen moet voldoen, zoals gepatchte PC, alle security updates geinstalleerd, controleren op SSL certificaat, om in aanmerking te komen voor restitutie van het fraudebedrag.

Terwijl ze dat zelf helemaal niet doen.

Hoezo met twee maten meten??
En dan geven ze zelf aan dat je als klant - in geval van internetbankier-fraude - aan alle voorzorgsmaatregelen moet voldoen, (....)
En ze updaten niet automatisch hun eigen programma op je telefoon. Zelfs een notificatie op de telefoon is makkelijk, en anders kunnen ze een check op nieuwe versies inbouwen in de eigen app.
Ik kreeg, bij het opstarten van de ABN Amro app, een melding dat er een nieuwe versie was.
Hoezo twee maten? Dit is gewoon een bug in de software. Of ben jij of iemand anders door deze bug geld kwijt geraakt en heeft de abn toen gezegd dat je geen compensatie kreeg? Bugje kan voorkomen, hoe slecht dan ook bij zo'n belangrijke app
Zelf geven ze aan dat je aan alle veiligheidsmaatregelen moet voldoen, maar zelf simpel testen of een SSL certificaat gevalideerd wordt, schijnt lastig te zijn.

Da's meer mijn punt.
Ik gebruik deze app alleen om saldo te controleren, het maximaal bedrag wat via deze app overgemaakt kan worden staat bij mij op 0 euro.

Daarbij kun je alleen geld overmaken naar een rekening waarnaar je dat al eerder hebt gedaan.
En over die indentifier, dat was alleen als je hem aan de pc had gekoppeld, verder is het een goede beveiliging. Niks mis mee dus.

Maar het is maakt wel duidelijk waar de risico's zitten. Het is namelijk een delicate grens: Gebruiks gemak tegenover veiligheid. Alles wat voor de consument makkelijker is, is meteen ook minder veilig.
De eerste keer dat je geld overmaakt via de app, moet je de edentifier gebruiken, dus zul je al geld moeten hebben overgemaakt naar de kwaadwillende. Daarnaast moet je bij bedragen boven de 500,- sowieso de edentifier gebruiken.
Alleen, als je het verkeer opvangt kun je het ook aanpassen.
Dus als ik 10 euro wil overmaken, de tussenpersoon maakt daar 500 van en stuurt dat naar de abnamro website. Die stuurt iets terug met een code die je moet invoeren, de tussenpersoon vervangt de bedragen erin en mogelijk de tekst en je bent klaar..
80% van de mensen controleren niet in het tussenliggend scherm of de tekst die ze zien (oftewel het stappenplan) nog gelijk is en wat ze normaal zien.

(overigens ben ik hier even uitgegaan van de rabobank schermen, geen idee welke schermen/stappen er bij de abn amro voorbij komen).

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True