Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker doet frauduleuze nfc-betaling via gekloonde Android-smartphone

Door , 68 reacties

Beveiligingsonderzoeker Slawomir Jasek heeft op de Hack in the Box-conferentie in Amsterdam getoond hoe hij een nfc-betaling uitvoerde met een gekloonde smartphone. Zo toonde hij aan hoe aanvallers geld kunnen stelen via root-malware op Android-toestellen door deze te klonen.

Jasek richtte zich tijdens zijn presentatie op host card emulation, oftewel hce, dat Google introduceerde in Android 4.4. Daarmee is het bijvoorbeeld mogelijk om draadloze smartphone-betalingen uit te voeren via nfc door het toestel naast een betaalterminal te houden. Zijn onderzoek richt zich op de vraag of het mogelijk is om via dit mechanisme geld te stelen van een slachtoffer.

De meest voor de hand liggende methode is het stelen van de telefoon, maar dat zou ertoe leiden dat de diefstal meteen word gemeld. Het onderscheppen van betalingen is ook moeilijk, omdat voor een nfc-betaling het scherm aan moet staan. Daardoor is het moeilijk om een soort ‘drive-by’-aanval uit te voeren. Daar komt bij dat er voor het uitvoeren van een betaling naast een token op basis van het rekeningnummer een sleutel nodig is.

Het stelen van deze sleutel tijdens het versturen ervan wordt bemoeilijkt doordat er gebruik wordt gemaakt van certificate pinning en aanvullende encryptie. Doordat al deze manieren moeilijk uit te voeren zijn, kwam de onderzoeker met een andere methode. Omdat de sleutel op het toestel wordt opgeslagen en het ontsleutelen ervan moeilijk is, kwam Jasek op het idee om de gehele inhoud van een telefoon te kopiëren, inclusief de bestanden van de geïnstalleerde betaalapp.

Het probleem is vervolgens dat de gegevens niet op een andere telefoon werken, omdat bepaalde eigenschappen van het toestel niet overeenkomen, bijvoorbeeld de hardware en het imei-nummer. Ook daar wist de onderzoeker iets op de bedenken, zo is het mogelijk om met behulp van het Xposed-framework deze gegevens te spoofen, zodat de gekloonde gegevens ook op de telefoon van de kwaadwillende partij werken. Sommige bankapps detecteren root-toegang, maar er zijn ook weer tools die dit kunnen verbergen.

Bij Android Pay was bovendien nodig dat beide toestellen gebruikmaken van dezelfde OS- en Google Services-versie. Om een telefoon te klonen, maakte de onderzoeker gebruik van malware. Deze gebruikte hij om root-toegang te verkrijgen op een Android-toestel, waarvoor per versie verschillende tools beschikbaar zijn. Voorwaarde is dus dat de malware met succes op het toestel van het slachtoffer geïnstalleerd kan worden.

Door een toestel te klonen en de gegevens op een ‘kwaadaardig’ toestel neer te zetten, kon hij daarop de bank-app starten en betalingen doen met de ‘gestolen’ bankkaart, die aan de app is gekoppeld. In de meeste gevallen zijn er beperkingen, zo kunnen er in het merendeel van de gevallen maar kleine aantallen betalingen onder de 25 euro gedaan worden, voordat er weer nieuwe tokens aangemaakt moeten worden. De nodige push-berichten via Google Cloud Messaging waren echter ook door het gekloonde apparaat op te vangen, waardoor meer betalingen mogelijk waren.

Om meer betalingen boven de 25 euro te doen, is vaak een pin benodigd. Zolang die wordt ingevoerd op het apparaat, bijvoorbeeld bij het installeren van de bankapp, kan die door de malware onderschept worden. Daarnaast ondersteunen sommige apps cdcvm, waarbij tijdens betalingen de pincode niet op de betaalterminal maar op het toestel ingevoerd moet worden. Daardoor kunnen alsnog betalingen met hogere bedragen worden gedaan. Doordat bij de apps die de techniek niet ondersteunen de nodige libraries wel aanwezig zijn, is het volgens de onderzoeker ook mogelijk om de apps te patchen. Dit leverde tot nu toe echter nog geen succesvolle betaling op.

Jasek testte in totaal acht apps die allemaal gekloond konden worden, waarbij het sommige gevallen moeilijker was dan in andere. Hij ziet ruimte voor verbetering, bijvoorbeeld door betere root-detectie, het gebruiken van meer apparaateigenschappen voor verificatie en betere fraudedetectie door banken. Hij verwacht bovendien dat telefoons in de toekomst gebruik gaan maken van betere hardwarebeveiliging, bijvoorbeeld in de vorm van een trusted platform module.

Moderatie-faq Wijzig weergave

Reacties (68)

Reactiefilter:-168066+150+26+30Ongemodereerd8
Ik denk bij dit soort artikelen altijd 'Wat gemaakt wordt, kan gekraakt worden'.
Deze situatie is nog niet heel omslachtig (alleen malware installeren), dus er is zeker verbetering mogelijk. Maar uiteindelijk ben ik van mening dat er altijd een mogelijkheid blijft bestaan om dit soort zaken te kunnen kraken.
Maar je moet het toestel wel eerst rooten, zeker met een locked bootloader (vanaf Android 5 geloof ik) is dit bijna onmogelijk (zover ik weet). En mocht de malware toch mogelijkheid zien om de bootloader te unlocken, wordt het toestel eerst gewiped. Dus valt er weer niks te kopieren.
Deze methode werkt dus alleen op toestellen met oudere Android versies. Sowieso is er nog geen werkende Xposed voor Android N en O.
Bij Xiaomi is het doodsimpel om de bootloader te unlocken. Je dient een aanvraag in met de reden waarom je de bootloader lock eraf wilt halen (een reden als "ik wil een andere rom flashen" is al goed genoeg). Zodra je de toestemming hebt (duurt een paar dagen gezien het handmatig wordt verwerkt), download je een tooltje van de Xiaomi website, daar moet je dan inloggen met het Mi account waarop toestemming is gegeven en dan kun je direct je telefoon flashen. Deze hoeft niet gewiped te worden, dus alle gegevens blijven gewoon bestaan.

Heb het nu al twee keer gedaan en werkt altijd prima en zonder problemen (behalve dat het wachten vervelend is).
Alleen niet bij alle toestellen hoeft het toestel gewipet te worden bij een bootloader unlock. Zowel mijn Sony Z1c als mijn Galaxy S6 hoefden dat in ieder geval niet. Mijn Oneplus 3T wel
Apart, want de vele tutorials laten zien dat een bootloader unlock ten alle tijden je data wipet (was ook mijn ervaring met de S3, S5 en S7 Edge). Ook in geval van de S6 en de Sony Z1c

[Reactie gewijzigd door RebelwaClue op 13 april 2017 23:05]

Denk vooral aan stagefright en towelroot om via exploits roottoegang te verkrijgen, dan is er geen reden waarom data gewiped zou worden en kan de malware doen wat het wil.
Towelroot werkt niet bij Android 6 en hoger. Stagefright is overigens ook opgelost in deze versies. Probleem is natuurlijk wel dat veel toestellen deze versies niet krijgen.
Klopt, maar dit zullen ook niet de laatste root exploits zijn. Als een aanvaller niet alleen bij data, maar direct bij geld kan verandert dat het verhaal toch wel.
Absoluut mee eens, het is ook zeker goed dat OS makers er boven op blijven zitten dat er gaten gedicht worden (en in Androids geval de hardware fabrikanten die updates ook doorvoeren).
Het is inderdaad flink omslachtig, en de hoeveelheid telefoons die aan al die voorwaarden voldoen (unlocked bootloader, root, xposed) is belachelijk klein. Ik vind alleen de conclusie van de onderzoeker raar. Mensen die hun telefoon unlocken, rooten, Ún vervolgens Xposed installeren, weten toch dat dit soort risico's er zijn? Bovendien, de hele reden om te unlocken/rooten/xposed te installeren is toch om alles flexibeler te maken, zodat er alternatieve programma's kunnen runnen? Dit is een logisch gevolg daarvan, het veiliger maken van het (by definition) onveiligere is compleet tegenstrijdig, omdat dat dat het gehele proces teniet zou doen. De enige 'oplossing' zou zijn dat Google Android opener maakt voor veranderingen zonder unlocken/rooten/Xposed installeren, maar dat is precies het tegenovergestelde van wat ze de afgelopen jaren hebben gedaan.

[Reactie gewijzigd door PeterBennink op 14 april 2017 10:29]

Toen stagefright nog niet gepatched was kon je met een MMSje of een video op een website een root shell openen, dan wordt het mogelijk om automatisch SELinux uit te schakelen, xposed to installeren, stil in de achtergrond te blijven om NFC betalingen te frauderen en een gelijksoortig MMSje naar het hele contactenboek te sturen. 50% van de Android toestellen waren kwetsbaar, dus lekker cashen.
Stagefright kon geen root shell openen noch automatisch SELinix uitschakelen. Ja je kon er bepaalde systeem permissies mee krijgen, maar geen root. En Xposed is sowieso alleen te installeren via de recovery.

[Reactie gewijzigd door RebelwaClue op 14 april 2017 08:43]

Een root shell openen en SELinux uitschakelen kon wel.
the mediaserver process on many Android devices (Nexus, for example) is constrained by SELinux and thus cannot use the execve system call. To avoid this problem, the original exploit uses a kernel exploit payload that disables SELinux and spawns a shell as root.
https://packetstormsecuri...x3g-Integer-Overflow.html

De recovery is de gangbare manier om Xposed te installeren, maar vanuit een root shell is er niks wat je tegenhoud deze bestanden via de shell op hun goede plek te zetten, de permissies goed te zetten, en de telefoon te rebooten om daarna weer dezelfde roottoegang op te pakken. Je zou in plaats van Xposed te gebruiken ook de Dalvik cache kunnen patchen zoals Lucky Patcher dat doet, dan kan er evenveel als met Xposed kan, die in de methodes haakt waar Lucky Patcher gewoon de code verandert, en hoeft er niet gereboot worden. Genoeg mogelijkheden als er een root shell is.
Ok via een omweg oftewel een kernel exploit kan het weer wel dus (al is dit officieel niet via stagefright haha). Overigens maakt het voor de Xposed module ook niet uit, aangezien deze niet op de slachtoffers telefoon hoefde te draaien.
Ik moet zeggen dat gezien de mogelijkheden van stagefright toentertijd, het aantal incidenten van gedupeerden me erg meevalt.
Overigens zeer interessante leesvoer in die link +1

[Reactie gewijzigd door RebelwaClue op 14 april 2017 13:31]

Naast wat RebelwaClue zei: de bootloader unlocken veroorzaakt (in bijna alle telefoons) een full wipe. Hierna is er dus helemaal niks meer over van eventuele bank-apps. Dat is waar ik moeite mee heb: maar heel weinig telefoons voldoen aan de voorwaarden voor deze hack, en de mensen die dit soort dingen met hun telefoon doen (waar ik er ook ÚÚn van ben overigens) weten wat de risico's zijn. Dan vind ik niet dat je kan zeggen dat fabrikanten en banken moeite moeten gaan doen om hen extra te beschermen.
Zowel towelroot als stagefright zijn exploits waarmee root bemachtigd kan worden zonder handmatig de bootloader te hoeven unlocken, dit is dan geen kwestie.

Bij het handmatig unlocken van de bootloader bepaalt de fabrikant dat er dan ook gewiped moet worden voor security redenen, waarna geroot kan worden. Als er via een exploit geroot wordt is dat helemaal niet van toepassing.
Er is malware in het wild (verstopt in legitieme apps) die tientallen rootmethoden heeft ingebouwd voor verschillende exploits dus het is bepaald geen theoretisch probleem.

Wat natuurlijk wel een issue is (of een goede zaak) dat deze malware wel degelijk ge´nstalleerd moet worden wat me al lastiger lijkt als je geen fysieke toegang tot de telefoon hebt.

Al met al: Google, fix je shit eens.

[Reactie gewijzigd door oef! op 13 april 2017 20:54]

Zover ik weet is er geen root methode voor Android 6+ zonder unlocked bootloader.
En dat is allemaal een kwestie van tijd... meestal korter dan je denkt.. en hou dan ook in je achterhoofd dat de veiligheid diensten ook vaal al een stapje voorlopen met dit soort ontwikkelingen
Oh dat geloof ik graag, maar dit geldt eigenlijk voor alle hardware/besturingssystemen.
Of je komt met opbouwende kritiek en geeft gewoon aan waar ik de fout in ga. Enige waar ik fout zat, was de Android versie. Namelijk vanaf 6 en hoger kan je niet zomaar rooten meer.
Verkeerd gelezen...

[Reactie gewijzigd door Erik-Hendriks op 14 april 2017 09:13]

Volgende keer misschien... Beetje raar dat 9 van de 10 dummies hier denkt te weten hoe een gsm te clonen op afstand maar het waarschijnlijk nog niet heeft getest (wp/ios/android) stelt niks voor joh
Hij verwacht bovendien dat telefoons in de toekomst gebruik gaan maken van betere hardwarebeveiliging, bijvoorbeeld in de vorm van een trusted platform module.

Inderdaad, om die reden moeten de benodigde encryptie sleutels dan ook opgeslagen worden in hardware, zoals Windows (Mobile) inderdaad met de TPM doet of igv NFC in een secure chip van de telefoon of SIM-kaart.

En als dat niet kan, moet op zijn minst de sleutel verstrengeld zijn met een unieke hardware eigenschap zoals op Apple met de encryptie-chip.

Software-only key opslag blijft gevaarlijk.
http://www.itproportal.co...-add-bitlocker-hack-list/

TPM was in 2010 al gekraakt. Geen idee wat ze er verder mee gedaan hebben. Ik zet het altijd af (wel, zo af mogelijk als het bios toelaat) uit gewoonte en heb het letterlijk nergens voor nodig. (Net zoals de UEFI/secure boot bs).
Ik vind niet meteen iets recents hierover maar als iemand een linkje klaar heeft zou ik die wel eens doorlezen.

Die 2 seconden die ik nodig heb om mijn pin in te tikken gaan het verschil niet maken en of ik nu een bank kaart of mijn telefoon moet boven halen, daar zit ook weinig verschil in. Zien wat er verder nog gebeurd in het betalen met de telefoon, maar het enige wat mij daar interesseert is kleine boodschappen kunnen doen met mijn prepaid krediet dat ik toch nooit opbel (Mobile Vikings).
TPM was in 2010 al gekraakt

Wellicht dat er bepaalde oude versies van de TPM gekraakt zijn, maar het is zeker niet zo dat de TPM chip in zijn algemeenheid gekraakt is. Laat staan moderne versies. De huidige spec is TPM v2.1

Integendeel, uit de Snowden 2012 onthullingen weten ze zelfs dat ook de NSA er niet in kon.

Die 2 seconden die ik nodig heb om mijn pin in te tikken gaan het verschil niet maken en of ik nu een bank kaart of mijn telefoon moet boven halen, daar zit ook weinig verschil in

Het idee van de TPM is dat de sleutel in de hardware zit. Dan kun je wel de software klonen, maar niet de hardware en daarmee opgeslagen encryptie sleutel. Heeft niets met de PIN te maken. TPM werkt ook uitstekend zonder PIN.
Interessant. Ik wist dat niet. Je hebt het dan over de meer recente windows 10 mobile toestellen (950, 650) of ook over de wat oudere zoals de 930.

Ik heb wel een TPM chip in mn laptop maar ik wist niet dat dit in telefoons ook zat. Ik heb daar wel al eens op gezocht maar erg duidelijk wordt het niet
Alle Windows Phone toestellen vanaf Windows Phone 8.0 hebben een TPM chip.

Het is onderdeel van o.a. Bitlocker support hetgeen toen bij die versie geintroduceerd werd. Immers een 4 a 6 cijferige PIN-code zou onveilig zijn als AES key, maar de gebruikers vragen een lang wachtwoord in te toetsen bij elke boot is niet echt gebruiksvriendelijk. Dus de 128bit key zit in de TPM chip welke het beschermt via het bekende UEFI secure en Windows trusted boot zoals Windows sinds Vista heeft.

Zelfde concept bij bijvoorbeeld alle Surface (RT) tablets die ook allemaal een TPM hebben voor o.a. de Bitlocker AES key opslag.
Ik bedoelde dat die paar seconden die ik win het (nog) niet waard zijn :)
Volgens mij moet je bij Apple Pay toch bevestigen met je vingerscanner? Is dat bij Android ook niet het geval i.p.v. een pincode?

[Reactie gewijzigd door Cyw00d op 13 april 2017 17:25]

Nee. Apps als Rabo werken zonder en op de achtergrond. ING en ABN weet ik het niet zeker maar volgens mij het zelfde (tot 25 euro)
Klopt, tot 25 euro hoef je ook bij ING geen code of vingerafdruk te gebruiken, dit is niet eens een optie. Ook de telefoon hoeft niet ontgrendeld te zijn, allen het scherm moet aanstaan.

Persoonlijk vind ik het heel raar dat de voorwaarde niet is dat de telefoon ontgrendeld is, dit moet wel als je een appje wilt sturen maar niet als je moet betalen. Zeker nu steeds meer smartphones vingerafdrukscanners hebben is dit een kleine extra moeite en een flinke extra beveiliging.
Opzich logisch als je het vergelijkt met een pinpas, die hoef je ook niet eerst te ontgrendelen om bedragen onder de 25 EUR te betalen
Het is niet logisch dat je met een pinpas zonder te ontgrendelen kan betalen. Dat ding kan je zonder meer skimmen door middel van een 'digitale antenne extensie": speciaal pasje bij het apparaat, met je smartphone de PIN pas uit iemands broekzak scannen en klaar is Klara.

Erg makkelijke technologie, maar veilig is anders. Verder is nou je PIN pas weer geld waard. Dat vergroot het risico dat ik mijn pas niet meer terugzie als ik hem verlies aanzienlijk. Waarom niet lekker ijsjes kopen als je een losse pas vind?
Het is niet logisch dat je met een pinpas zonder te ontgrendelen kan betalen. Dat ding kan je zonder meer skimmen door middel van een 'digitale antenne extensie": speciaal pasje bij het apparaat, met je smartphone de PIN pas uit iemands broekzak scannen en klaar is Klara.
Dat argument hoor ik wel vaker, maar er zit wel een klein nuanceverschil in: je kunt niet magisch geld van een kaart af schrijven.
Vroeger, toen we nog de magneetstrip hadden, kon je die vrij gemakkelijk clonen en op een blanco pasje zetten. Als je dan ook nog de pincode had, dan kon je geld uit de automaat trekken, totdat de rekening leeg was of het slachtoffer erachter kwam en de kaart blokkeerde. Het "voordeel" van het geld pinnen was dat de skimmer cash geld in handen heeft.
Met wireless pinnen is dat niet het geval. Hoewel je technisch gezien inderdaad apparaten kunt bouwen die veel krachtiger zijn dan de standaard apparatuur die tot 1 of 2 cm afstand van de kaart moet zijn. Alleen heb je niet veel aan die apparatuur an sich: de apparaten moeten namelijk ingepast worden in het "bancaire netwerk". De skimmer moet dus een contract met een bank hebben een tegenrekening, waarnaartoe het geld wordt overgemaakt. Dat betekent dus dat de skimmer traceerbaar is en dat het voor de bank dus al snel duidelijk is dat er geskimd wordt en wie dat is (of wie de katvanger is).
Heeft er iemand trouwens een praktijkvoorbeeld van het skimmen via wireless, want eerlijk gezegd heb ik alleen berichten van onderzoekers en een paar wazige berichten, die ik niet op waarheid kan toetsen.

Anders is het bericht hierboven. Hoewel ik de methode persoonlijk erg omslachtig vind, is dit wel een proof of concept van hoe je echt geld van een slachtoffer afhandig maakt. Ook hier geldt overigens, dat de skimmer geen fysiek geld in handen krijgt. Hij zal het kunnen gebruiken om spullen te kopen, die hij eventueel weer kan verkopen voor geld. Het is dus maar de vraag of dit op grote schaal toegepast wordt, omdat ik me afvraag of de moeite opweegt tegen de opbrengst.
Voor de bank is dit moeilijk te traceren, omdat de twee telefoons identiek lijken en de bank dus niet kan zien welke telefoon de frauduleuze is. Dat maakt het voor het slachtoffer ook moeilijk te bewijzen, tenzij er binnen vijf minuten in Maastricht en in Groningen via de app is gepind.

En voor je verloren pin pas: die was al jaren geld waard. Vroeger doordat er geld op je chipknip kon staan en nu omdat je er wireless mee kunt pinnen. Als je daar moeite mee hebt, dan kun je het wireless gedeelte uit zetten. En natuurlijk is het zo verstandig om het nummer van je bank in je telefoon te zetten, zodat je een verloren pas meteen kunt blokkeren.
Ik heb geen voorbeeld, maar ik zou toch niet zo snel meer een bankkaart in mijn broekzak bewaren (iets wat mbt de chip / antenne uberhaupt geen goed idee is overigens). Je hebt wel gelijk dat het alleen makkelijk is om goederen te kopen. Maar dat kan dan wel weer erg gemakkelijk en dat is niet zo traceerbaar.

Je kan met die telefoon best wel dingen kopen die direct geld waard zijn. Mijn creditcard is eens gebruikt om drie verschillende stuks software te kopen. Bewijs dan maar eens dat je die niet nodig hebt. Of dat de gene waarvan de software is gekocht niet ter goeder trouw handelt. Ze sturen je 3 activatie codes op en dat was het dan. Het koste me overigens veel tijd om het weer terug te krijgen maar dat is uiteindelijk wel gebeurd (Rabo / MasterCard). Nummer was trouwens gejat dmv een gehacked goed doel waar ik wat geld aan had overgemaakt - geen goede daad gaat onbestraft .

Ja ik vond die chipknip ook al niets wat dat betreft. Het probleem is dat ik het wel uit kan zetten. Maar degene die mijn pas meeneemt in plaats van inlevert gaat hem echt niet achteraf inleveren. Dan gaat ie gewoon de prullenbak in. En ja, ik heb via mijn app op mijn telefoon de mogelijkheid tot blokkeren en ja ik heb een tweede bankpas (met een ander netwerk). Tegenwoordig wil je niet meer zonder komen te zitten.

[Reactie gewijzigd door uiltje op 13 april 2017 23:12]

Ik ben het helemaal met je eens, maar volgens mij kun je buiten de EU (bijv. Turkije) contactloos contant geld pinnen bij een geldautomaat. Ik weet niet of dat geblokkeerd wordt door alle Nederlandse banken.
Ik ben het helemaal met je eens, maar volgens mij kun je buiten de EU (bijv. Turkije) contactloos contant geld pinnen bij een geldautomaat. Ik weet niet of dat geblokkeerd wordt door alle Nederlandse banken.
Het is al even geleden (begin 2008), maar indertijd heb ik in Finland (dus binnen de EU) betaald zonder mijn pincode in te voeren; ik hoefde alleen mijn handtekening op het bonnetje te zetten. Heb me altijd afgevraagd wat er gebeurd zou zijn als ik bij mijn bank geclaimed zou hebben dat die afschrijving niet klopte...?
Dat was overigens niet bij een geldautomaat maar bij een winkel. Bij de geldautomaten moest ik wel mijn code intypen (en ik zie niet hoe een onbemande automaat mijn handtekening zou vragen).

Weet je zeker dat je geen dingen door elkaar haalt? Zoals je het omschrijft zou er namelijk geen enkele vorm van authenticatie plaatsvinden. Dat is wel heel gevoelig voor fraude, dan zou ik verwachten dat ofwel de Nederlandse banken dat blokkeren, ofwel de Turkse banken zelf (afhankelijk van welke partij de vergoeding moet uitkeren als fraude wordt geclaimed).
Wat je beschrijft is verwacht ik dat de verkoper jou pas als debit/creditcard heeft gezien.
Als je aan de bank aangeeft dat jij dit niet was geweest lijkt mij dat je je geld gewoon terugkrijgt. Voor de bank veel duurder daar achteraan gaan dan dit te betalen.

Hetzelfde met incasso, je kunt vrij simpel een incasso doen bij een vreemde rekening. (Als je de software hebt) Maar als klant kun je de incasso zonder reden weer ongedaan maken. De bank moet dan zelf naar de andere zijde dit verhalen.
De raad is dan ook regelmatig je afschrijvingen controleren op onbekende betalingen/incasso's!

[Reactie gewijzigd door cruysen op 14 april 2017 09:23]

Anders is het bericht hierboven. Hoewel ik de methode persoonlijk erg omslachtig vind, is dit wel een proof of concept van hoe je echt geld van een slachtoffer afhandig maakt. Ook hier geldt overigens, dat de skimmer geen fysiek geld in handen krijgt. Hij zal het kunnen gebruiken om spullen te kopen, die hij eventueel weer kan verkopen voor geld.
Is "geld bijpinnen" aan de kassa nog een ding, of is dat afgeschaft? Af en toe hoor ik iemand voor me in de rij vragen om een of twee tientjes bij te pinnen (het bedrag dat ze pinnen gaat een tientje omhoog en ze krijgen een tientje "wisselgeld"). Dan zou je niet alleen "gratis" boodschappen doen met je gekloonde kaart, maar ook een (bescheiden) bedrag in cash buitmaken.
De Rabo app logt uit als hij naar de achtergrond gaat.
Ook niet meer sinds de laatste update.
Tja, ik heb een Windows phone... Die lopen nog wel eens achter... Zucht
Wacht, de Rabobank heeft een app voor Windows? dat is interessant, ik zit al maanden te wachten op een app van de ABN en er zit absoluut geen schot in.

Dank voor deze info!
ABN heeft ook een app voor windows phone als dat is waar je op doelt? Weliswaar zonder ondersteuning voor windows hello of nfc betalingen, maar hij bestaat zeker weten.
ABN heeft gewoon een app voor windows 10 mobile, van de week nog ge´nstalleerd. Ik gebruik hem niet heel vaak want het niet mijn hoofdrekening. Ing app doet het trouwens ook prima op W10m
Ah. Daarom moet je dus bij een overboeking opnieuw je code invoeren.
De app van Rabobank valt (als enige van de Nederlandse banken) buiten deze hack. Ze gebruiken (nog) geen HCE. Alle sleutels liggen veilig in de SE van het toestel of een simkaart. Dit valt (vooralsnog) niet te kraken.
Wanneer je al een clone hebt gemaakt van een telefoon heb je vast ook wel de mogelijkheid om de opgeslagen vingerafdruk te gebruiken als invoer. Bij Android is dit niet opgeslagen in een gescheiding gedeelte van de telefoon (zover ik weet).
Maar wel beveiligd met je pin/wachtwoord die je bij boot moet opgeven. Dus als je een sterk wachtwoord hebt ipv een simpele pincode, is die alweer veel lastiger te kraken.
Die vingerafdruk wordt toch gecodeerd opgeslagen in een chip, dus niet softwarematig. Bij Apple dan.
Gewoon alles overpompen..(windows, ios of android/unix )
Voor lijst met exploits etc. ios 10.x, windows10, android 7.x zie updated cia hacking tools..hadden we deze fbi lijstjes/tooltjes 20-30jr geleden maar hahahaha niet normaal.. als je privacy wilt tijdens internet banking heb je pech.. nieuwe laptop, gsm, magnetron met dna, iris, vingerafdruk en supersecurity chips gaan er niet aan helpen.. 8)7 :)
Dat gaat bij een iPhone dus niet werken omdat je via het OS geen toegang hebt tot de touch id chip waar de vingerafdruk in is opgeslagen. Deze chip zou je dan ook fysiek over moeten zetten in het kloon toestel. En moet je natuurlijk de vingerafdruk ook hebben of een goeie kopie er van

[Reactie gewijzigd door Crp op 13 april 2017 20:08]

Volgens mij zit niet in elk toestel zoon scanner :-(
Ik heb wel een dochter scanner
Mja. Dus met andere woorden moet xposed ge´nstalleerd zijn op het toestel van een slachtoffer? Anders kan een malafide apk toch nooit aan de bestanden van een ander persoon zijn toestel?

Super knap gedaan en zeker onderzoeken waard, maar ik zie een aanval als deze nooit in het wild opduiken.
Xposed is een tool, maar dat kan natuurlijk ook ge´ntegreerd zijn in de malware.

Wat ik mij afvraag, als je mobiel alleen betalingen naar bekende nummers zonder calculator doet, ben je dan nog veilig? Via PayPal incasso kom je dan alsnog een heel eind denk ik.
Neen. Xposed moet geflashed worden op het systeem omdat het inhaakt in ART/Dalvik. Je kan het niet zomaar in een apk inbakken. Dat zou wel handig zijn :)
Xposed op zijn eigen. Malware op de andere telefoon.
Grappig dat het kan maar betekend dus wel dat iemand volledige toegang tot je device moet hebben voor 5-15 minuten terwijl ze de gehele rom en alle data eruit trekken, en ik mag toch aannemen dat iemand die internet bankiert op z'n mobiel [1] Een wachtwoord op het lockscreen heeft en [2] z'n telefoon niet rond laat slingeren.

Verder hoop ik vooral dat dit niet betekend dat er nu allerlei bedrijven boos worden op XPosed en de boel gaan proberen aan te klagen ofzo, want behalve dit soort dingen kun je er ook allerlei toffe dingen mee.
Lees het artikkel eerst even en pas daarna je reactie aan. Het slachtoffer hoeft geen xposed te hebben, de aanvaller gebruikt dat op zijn eigen toestel.

Je moet alleen zorgen voor malware bij het slachtoffer, via bijvoorbeeld een malafide app.
.............?
Ik heb het artikel gewoon gelezen hoor? Heb je het zelf wel gelezen? want het gaat dus over een volledige kopie maken van een telefoon, iets wat je toch echt met een kabeltje zal moeten doen, een app met malware kan niet zomaar de beveiligde delen van het systeem gaan uploaden, dat zou wel een heel bizar groot veiligheids-lek zijn.

Verder is m'n reactie gebaseerd op het feit dat een doorsnee bedrijf (zeker een bank) heel zwart wit denkt, via XPosed is het mogelijk te klooien met een device id, dus XPosed "is slecht" en "faciliteert hackers & criminelen" (dit is niet wat ik denk, maar hoe een doorsnee bank zal denken) dat XPosed pas na de kopie van data 'in de picture komt' is absoluut niet relevant voor dit soort bedrijven, punt blijft dat je met XPosed kan gaan frunniken met device id's etc, iets wat ze zich blijkbaar nog niet gerealiseerd hebben/niet aangepakt hebben als een probleem, best een issue als je als bank die device id's gebruikt om je gebruikers te verifiŰren, en dan is het natuurlijk makkelijker XPosed aan te klagen dan te gaan kijken naar een betere oplossing.

Edit:
Ah
Om een telefoon te klonen, maakte de onderzoeker gebruik van malware. Deze gebruikte hij om root-toegang te verkrijgen op een Android-toestel, waarvoor per versie verschillende tools beschikbaar zijn
Dat was me niet bekend, blijkbaar is het dus wel mogelijk om data uit de beveiligde delen van het bestandssysteem te halen, op zn zachts gezegd apart, want voor zover ik weet mag alleen ADB dit, misschien dat dit ondertussen via malware op de telefoon zelf kan draaien?? Iemand die hier meer over weet? inderdaad een vrij bizar lek dan..

[Reactie gewijzigd door olivierh op 13 april 2017 18:25]

een app met malware kan niet zomaar de beveiligde delen van het systeem gaan uploaden, dat zou wel een heel bizar groot veiligheids-lek zijn.
Als de malware root-toegang heeft verkregen kan dit dus WEL.

Edit: sorry je had je reactie al gewijzigd.

[Reactie gewijzigd door klerk op 13 april 2017 19:06]

Moet gelijk denken aan die chipfabrikant/uitvinding waarbij de CPU een persoonlijk stukje kan krijgen, moet Google het in Android wel goed inbouwen zonder dat een xposed brug mogelijk is.
Hij ziet ruimte voor verbetering, bijvoorbeeld door betere root-detectie, het gebruiken van meer apparaateigenschappen voor verificatie en betere fraudedetectie door banken. Hij verwacht bovendien dat telefoons in de toekomst gebruik gaan maken van betere hardwarebeveiliging, bijvoorbeeld in de vorm van een trusted platform module.
Een andere methode kan zijn de detectie van een kloon. Een apparaat kan immers niet op twee plaatsen tegelijk zijn. Als de lokatie van een toestel en/of het betaalstation bekend is kan worden vastgesteld dat een toestel zich wel heel vreemd verplaatst.

Ook een nieuwe mogelijkheid kan zijn het vooraf bevestigen van een nieuw betaalstation. Dan werkt de betaalapp alleen bij betaalstations die je ooit een keer hebt goedgekeurd. Dat verkleint de kans dat een kloon werkt bij nieuwe betaalstations.

[Reactie gewijzigd door Kalief op 13 april 2017 23:24]

Nieuws: onderzoeker jat portemonnee en koopt er een kroket mee. Aan elke vorm van betaling zit een risico, dat zal niet veranderen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*