Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 48, views: 21.307 •
Submitter: hypetrax

De Android-applicatie van ABN Amro, waarmee klanten geld kunnen overmaken, bevatte een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte.

ABN Amro logoDe ABN Amro-app voor Android controleerde wel of er een ssl-certificaat was, maar niet of de domeinnaam waarvoor het certificaat was uitgegeven wel juist was. Dat schrijven studenten van de Universiteit van Amsterdam in hun onderzoekspaper. Het paper stamt al uit december, maar is nu pas openbaar gemaakt door de universiteit.

Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te ontsleutelen. Daarvoor zou hij of zij eerst de internetverbinding van de gebruiker moeten onderscheppen via een man in the middle-aanval, bijvoorbeeld door een malafide wifi-hotspot op te zetten.

Op 17 december, enkele dagen nadat de studenten hun bevindingen meldden aan de bank, werd een gepatchte versie uitgegeven. Gebruikers die hun app niet hebben bijgewerkt, zijn echter nog steeds kwetsbaar, tekent de universiteit aan. Het is onduidelijk waarom de bank klanten met een onveilige versie van de applicatie niet blokkeert. De bank was niet bereikbaar voor commentaar.

Het is het tweede beveiligingsprobleem bij ABN Amro in een halfjaar tijd. In augustus bleek het mogelijk om het apparaat dat wordt gebruikt om de identiteit van de klant te controleren, te kraken. Transacties konden worden gemanipuleerd, waardoor kwaadwillenden geld zouden kunnen doorsluizen naar hun eigen rekening. Vorig jaar bleek dat de bankier-app van ING het ssl-certificaat van de bank niet controleerde.

Reacties (48)

Reactiefilter:-148047+126+212+31
Ja alleen voor de Android app. We hebben ook naar de andere apps gekeken, deze hadden het probleem niet.
Ik ben geen programmeur maar ik vermoed dat de libraries in de Android App niet juist gebruikt werden. De andere apps hebben we wel degelijk getest en die hadden het probleem niet.
On Tuesday December 18th, 2012, only four days after being informed about the issue,
ABN AMRO released a new version of the Android Application in the Google Play store,
patching the issues described in this paper.
Ik vind het wel tof van de bank dat ze na vier dagen al een update uitbrengen nadat het probleem aan ze gemeld is.
Zo zou het altijd moeten gaan, niet meteen aangifte doen bij de politie ofzo.

Nou maar hopen dat er niet teveel geld gejat is en dat de klanten het terug krijgen.
Anders gaat de prijs van de betaalpakketten straks weer omhoog, of zouden ze hier voor verzekerd zijn?

[Reactie gewijzigd door Soldaatje op 13 februari 2013 14:24]

Het is al schandalig dat SSL functionaliteit voor uitgerekend BANK TRANSACTIES niet wordt getest! Als er iets goed versleuteld moet worden is het dat wel. En dat je de SSL data kan ontcijferen tot daar aan toe, maar dat je het bericht ook nog kan aanpassen en doorsturen is helemaal belachelijk. Een bank hoort zijn al berichten te signeren. Daar heb je een standaard voor.
Wat ik vooral ernstig vind is dat ABN niet zelf meteen is gaan checken of haar app wel veilig was nadat bij ING precies dit lek al was gevonden. Wat dat betreft was dit een makkelijke opdracht voor de studenten, gewoon lekken bij andere banken nalopen. Dat kunnen criminelen dus ook doen.
Ze gaven aan dat ze dit wel deden, maar dan enkel met een self signed certificate. Wij hebben een certificaat voor ons eigen domein gebruikt, wat gesigned was door een trusted third party.
Dus..

-De boef moet eerst het internetverkeer van de telefoon onderscheppen
-Dan wachten totdat er iemand langs komt met een android toestel
-Dan hopen dat diegene zijn ABN-AMRO APP opstart
-Dan kan je de "pincode' onderscheppen (zoals er staat in het originele artikel) maar dit is niet juist, de code die je gebruikt in de app is anders als die EMV chip staat

Als iemand dus AL die moeite heeft gedaan kunnen ze geld overmaken naar mijn eigen glazenwasser of iemand anders met wie ik zaken doe...

Ik vraag me af of het echt wel de moeite loont om dit uit te voeren, ik denk dat zakkenrollen sneller geld oplevert.

[Reactie gewijzigd door Alcmaria op 13 februari 2013 14:34]

Helaas is dat geen enkel probleem. Als iemand al een grotere transactie heeft staan (default limieten kan je aanhouden als malafide app) dan krijg je, tot een bepaald totaalbedrag, alleen 1 willekeurig gekozen code die je op je eDentifier moet invoeren. Ook kan je daarna de malafide transacties filteren in het overzichtsscherm.

En nog mooier: nadat iemand 1x zo'n transactie heeft geaccordeerd kan de boef per dag het maximumbedrag overmaken naar zijn rekening, tot hij gepakt wordt, zodra hij 1x de pincode 'ziet' (bijv bij het inloggen).
-De boef moet eerst het internetverkeer van de telefoon onderscheppen
-Dan wachten totdat er iemand langs komt met een android toestel
-Dan hopen dat diegene zijn ABN-AMRO APP opstart
-Dan kan je de "pincode' onderscheppen (zoals er staat in het originele artikel) maar dit is niet juist, de code die je gebruikt in de app is anders als die EMV chip staat
Punt 1: Da's niet zo moeilijk. Veel gebruikers hebben 'automatically connect to wifi' aan staan, dus je hoeft bij de supermarkt of pompstation alleen maar een open wifi hotspot neer te zetten. De telefoon doet de rest.

Punt 2: Er zijn ontzettend veel mensen met een Android toestel. En pompstations hebben ontzettend veel klanten.

Punt 3: Bij een pompstation is de kans groot dat dat gebeurt. Tenzij de app gewoon onhandig is.

Punt 4: Als je die pincode hebt, kun je in ieder geval als man-in-the-middel zelf een transactie in elkaar frutselen en die authoriseren. De SSL connectie met de bank heb je al, en de code krijg je van de Android telefoon. Simpel om achter de transactie van de telefoon nog even snel je eigen transactie te sturen die eenzelfde bedrag overmaakt, maar dan naar jouw eigen rekening.

Of om het rekeningnummer van het pompstation te vervangen door je eigen rekeningnummer, en gewoon het geld te stelen. Dan gaat als klant je betaling aan het pompstation wel niet door, maar dat is niet het probleem van de hacker.

Er zit nog meer aan vast, want het geld moet weer weggesluisd worden van de rekening naar een anonieme rekening. Maar dat zijn technicalities.
Je zit ernaast. We hoeven enkel de DNS entry naar www.abnamro.nl aan te passen.

Dit kan bijvoorbeeld door:
-DNS Poisoning.
-Malware die de hostfile aanpast op de telefoon.
-Een "onveilig" wifi netwerk.

Geld moet juist overgemaakt worden naar een rekening die niet eerder gebruikt is (waarvoor dus een e-dentifier nodig is) om de transactie te kunnen aanpassen.

Is dit een hack die een kwaadwillende veel geld oplevert? Nee... Toch is het spijtig dat deze fout in de app zat. Ik wil namelijk liever niet dat andere mensen inzicht hebben in mijn financiele zaken, dat is prive.

Daarnaast gebruiken veel mensen een pin-code in de applicatie waarin hun daadwerkelijke pin-code (van hun bankpas) zit verwerkt.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneMobiele besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013