Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties
Submitter: hypetrax

De Android-applicatie van ABN Amro, waarmee klanten geld kunnen overmaken, bevatte een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte.

ABN Amro logoDe ABN Amro-app voor Android controleerde wel of er een ssl-certificaat was, maar niet of de domeinnaam waarvoor het certificaat was uitgegeven wel juist was. Dat schrijven studenten van de Universiteit van Amsterdam in hun onderzoekspaper. Het paper stamt al uit december, maar is nu pas openbaar gemaakt door de universiteit.

Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te ontsleutelen. Daarvoor zou hij of zij eerst de internetverbinding van de gebruiker moeten onderscheppen via een man in the middle-aanval, bijvoorbeeld door een malafide wifi-hotspot op te zetten.

Op 17 december, enkele dagen nadat de studenten hun bevindingen meldden aan de bank, werd een gepatchte versie uitgegeven. Gebruikers die hun app niet hebben bijgewerkt, zijn echter nog steeds kwetsbaar, tekent de universiteit aan. Het is onduidelijk waarom de bank klanten met een onveilige versie van de applicatie niet blokkeert. De bank was niet bereikbaar voor commentaar.

Het is het tweede beveiligingsprobleem bij ABN Amro in een halfjaar tijd. In augustus bleek het mogelijk om het apparaat dat wordt gebruikt om de identiteit van de klant te controleren, te kraken. Transacties konden worden gemanipuleerd, waardoor kwaadwillenden geld zouden kunnen doorsluizen naar hun eigen rekening. Vorig jaar bleek dat de bankier-app van ING het ssl-certificaat van de bank niet controleerde.

Reacties (48)

Reactiefilter:-148047+126+212+31
Moderatie-faq Wijzig weergave
3g is redelijk eenvoudig te onderscheppen. Het enige wat je hoeft te doen is een eigen netwerk op te zetten. De gegevens die je binnenkrijgt proxy je dan door naar het mobiele netwerk.

De software hiervoor is gewoon vrijelijk beschikbaar, de hardware is ook niet vreselijk duur.
Interessant, waarschijnlijk gebruikt ABN de http://developer.android....ificateSocketFactory.html ipv de http://developer.android....l/HttpsURLConnection.html welke standaard al de hostname verification doet.

Waarschijnlijk wel een beetje slordig tenzij ABN geen HTTP gebruikt voor de communicatie met hun servers.
En dan geven ze zelf aan dat je als klant - in geval van internetbankier-fraude - aan alle voorzorgsmaatregelen moet voldoen, zoals gepatchte PC, alle security updates geinstalleerd, controleren op SSL certificaat, om in aanmerking te komen voor restitutie van het fraudebedrag.

Terwijl ze dat zelf helemaal niet doen.

Hoezo met twee maten meten??
Ik gebruik deze app alleen om saldo te controleren, het maximaal bedrag wat via deze app overgemaakt kan worden staat bij mij op 0 euro.

Daarbij kun je alleen geld overmaken naar een rekening waarnaar je dat al eerder hebt gedaan.
En over die indentifier, dat was alleen als je hem aan de pc had gekoppeld, verder is het een goede beveiliging. Niks mis mee dus.

Maar het is maakt wel duidelijk waar de risico's zitten. Het is namelijk een delicate grens: Gebruiks gemak tegenover veiligheid. Alles wat voor de consument makkelijker is, is meteen ook minder veilig.
De eerste keer dat je geld overmaakt via de app, moet je de edentifier gebruiken, dus zul je al geld moeten hebben overgemaakt naar de kwaadwillende. Daarnaast moet je bij bedragen boven de 500,- sowieso de edentifier gebruiken.
Alleen, als je het verkeer opvangt kun je het ook aanpassen.
Dus als ik 10 euro wil overmaken, de tussenpersoon maakt daar 500 van en stuurt dat naar de abnamro website. Die stuurt iets terug met een code die je moet invoeren, de tussenpersoon vervangt de bedragen erin en mogelijk de tekst en je bent klaar..
80% van de mensen controleren niet in het tussenliggend scherm of de tekst die ze zien (oftewel het stappenplan) nog gelijk is en wat ze normaal zien.

(overigens ben ik hier even uitgegaan van de rabobank schermen, geen idee welke schermen/stappen er bij de abn amro voorbij komen).

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 edge Apple Watch Project CARS Nest Learning Thermostat Sony

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True