Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker toont aanval op Duitse bankapp en past overboeking aan

De Duitse beveiligingsonderzoeker Vincent Haupert heeft op de Chaos Computer-conferentie een aanval op een Duitse bankapp getoond, die beveiligd is met technologie van de aanbieder Promon. Zo kon hij over te boeken bedragen manipuleren.

Haupert demonstreerde de aanval tijdens zijn presentatie. Daarvoor maakte hij gebruik van een Android 7.0-toestel dat nog niet tegen het zogenaamde dirtycow-lek was gepatcht. De onderzoeker stelde dat dit nodig was om commando's met root uit te voeren. De aanval bestaat daaruit dat een gebruiker een kwaadaardige app downloadt, bijvoorbeeld uit de Play Store. Deze verwijdert vervolgens de Promon-beveiliging van de al op de telefoon aanwezige bankapp en maakt het volledig geautomatiseerd mogelijk om over te boeken bedragen aan te passen. Dit werkt bij apps die gebruikmaken van een app-based tan via een aparte app.

De onderzoeker heeft zijn project Nomorp genoemd in referentie tot de beschermingsdienst Promon. Deze wordt voornamelijk door Duitse banken gebruikt om hun apps te beveiligen en het bedrijf claimt dat de bescherming ervoor moet zorgen dat de apps ook veilig moeten blijven op toestellen die door malware zijn geïnfecteerd. De dienst beveiligt de apps bijvoorbeeld met technieken als certificate pinning, anti-debugging en rootherkenning.

Tijdens zijn onderzoek kwam Haupert erachter dat het mogelijk was om de dienst van het bedrijf, genaamd Promon Shield, volledig uit te schakelen. Later vond hij een eenvoudigere manier, doordat hij erachter kwam dat het mogelijk was om het configuratiebestand van de dienst, nadat dit ontsleuteld was maar voordat het geparset werd, aan te passen en alle controles uit te schakelen. Daardoor blijft de 'bescherming' actief, maar voert niets uit. De onderzoeker nam contact op met Promon en deelde zijn bevindingen. Inmiddels heeft het bedrijf wijzigingen doorgevoerd, die hij echter nog niet geanalyseerd heeft.

De banken zeiden dat 'er geen gevallen van misbruik bekend zijn'. Haupert uitte kritiek op de ontwikkeling dat banken steeds meer overgaan tot app-based tan-technieken, waarbij de tweede factor volgens hem verloren gaat. Hij stelt dat app hardening een rol kan spelen, maar alleen als aanvullende maatregel. Het zou geen tweetrapsproces kunnen vervangen.

Het overschrijven van de configuratie

Door Sander van Voorst

Nieuwsredacteur

28-12-2017 • 19:54

87 Linkedin Google+

Reacties (87)

Wijzig sortering
Tja; ik waarschuw iedereen al jaren dat alles wat op de een of andere manier in direct contact staat met de grote boze digitale buitenwereld nooit als tweede factor in 2-factor authenticatie ingezet zou moeten worden.

As je te maken hebt met een gecompromiteerd apparaat, dan zal er na meer of minder speuren door kwaadwillenden een manier gevonden worden om zo'n app naar hun pijpen te laten dansen.

Da's niet een kwestie van 'als', maar toch echt van 'wanneer.' Wanneer dat dan precies is, hangt af van hoe 'interessant' de gebruikersgroep is voor criminelen. 2FA middleware zoals van Promon, welke aan banken levert, staat daarbij natuurlijk stipt bovenaan.

[Reactie gewijzigd door R4gnax op 28 december 2017 22:23]

Hoe zit het dan met SMS als 2FA?
Hoe zit het dan met SMS als 2FA?
Veiliger dan phone-apps met 2FA op dezelfde phone. Dwz: gebruik de telefoon enkel voor SMS 2FA berichten. Criminelen moeten dan eerst jouw telefoon matchen aan jouw andere systeem en op beiden 'binnen' komen, of ze moeten weten dat een set gedeeltelijke logingegevens die ze hebben, gekoppeld zijn aan jou en de telefoon die jij voor 2FA SMSjes gebruikt.

Dat is een iets hogere drempel dan malware die zich als een worm kan verspreiden en gewoon kan kijken voor de aanwezigheid van bepaalde apps.


SMS 2FA is vanwege de onderschepbaarheid weliswaar gevaarlijk, maar dat speelt eigenlijk voornamelijk wanneer jij specifiek op de korrel genomen zou worden. Meer iets voor bedrijfs- on overheidsspionage of het hacken van interessante personen zoals (digitale) beroemdheden. Niet iets wat willekeurige criminelen bij willekeurige burgers zullen toepassen. Of zelfs maar kunnen toepassen: het onderscheppen vereist nl. een zekere lokale aanwezigheid.


Veiligste blijft natuurlijk gewoon een van de buitenwereld afgesloten security token. Of voor bankzaken het type apparaat dat in de volksmond bekend staat als "random reader"; wat eigenlijk de merknaam van de implementatie van dat soort kastjes bij de Rabobank is geweest, waarmee het in Nederland populair geworden is.

[Reactie gewijzigd door R4gnax op 28 december 2017 23:18]

Veiligste blijft natuurlijk gewoon een van de buitenwereld afgesloten security token. Of voor bankzaken het type apparaat dat in de volksmond bekend staat als "random reader"; wat eigenlijk de merknaam van de implementatie van dat soort kastjes bij de Rabobank is geweest, waarmee het in Nederland populair geworden is.
Hier ben ik het met je eens. De random readers mogen dan wel een last zijn, maar veilig zijn ze wel. De token die je terug krijgt van de reader wordt op basis van je naam, rekeningnummer en datum gegenereerd. Maar goed, niet iedereen neemt zijn random reader mee en dat kan dus soms een probleem zijn. Gelukkig heeft ABN AMRO het nu wel voor elkaar dat je geld kan overboeken naar onbekende rekeningen zonder de random reader. Rabobank heeft daarentegen de random reader vernieuwd en scan je dus een QR code i.p.v. de codes in te vullen.

Een afgesloten security token is natuurlijk het veiligst, want jij kan alleen de token invullen. Ik vraag me dan wel af of de beveiliging van de Nederlandse banken door hunzelf wordt gedaan, of door een externe partij. Lijkt me niet echt fijn dat als je via iDeal ¤50,- betaalt bij een webshop en paar minuten later ¤2000,- van je rekening wordt afgehaald én op een andere rekening komt, dan die van de webshop...
dat scannen is leuk, maar erg practisch is het allemaal niet, het is zelfs zo'n grote ergernis dat ik overweeg over te stappen naar een bank waar 2FA via bijv een smartphone kan.

over dat onderscheppen van berichten gesproken. dat zou heel eenvoudig op te lossen zijn door een 3e factor toe te passen.

stap 1; vul in je bankieren app of desnoods zelfs in een aparte randomgenerator-app een prive'sleutel in...
stap 2; log in op de website van je bank en geef daar je publieke sleutel
stap 3; bij een transactie zal de bank je een token willen sturen via sms... maar omdat ze je pub.key hebben kunnen ze die versleuteld opsturen.
stap 4; met de app die toegang heeft tot je sms, ontsleutel je de code die gebruikt moet worden om je transactie goed te keuren.

dus zelfs als ze nu je sms zouden onderscheppen, hebben ze daar niets aan...
Mij lijkt het gebruik van één systeem (telefoon) voor de hele keten een zwakke schakel. Zeker als de telefoon verre van goed beveiligd is.
In mijn beleving is alles wat je intikt of invoert in je telefoon te onderscheppen. Dus welke code/sleutel dan ook. De enige goede beveiliging is de beveiliging waar een groot deel van de gebruikers niet aan wil omdat het te omslachtig/tijdrovend of te ingewikkeld is. En dus zal het nooit gemaakt worden.

Je ziet het met de toenemende functionaliteit van de bank app van ABN. Hoe mooi het ook is, en alles ook werkt, uiteindelijk is het een verslechtering van de beveiliging. Hoe relatief klein het bedrag ook is, het aantal gebruikers maakt dat weer goed.

Anyway je gedachte is goed maar ik vind het een beetje roepen in de woestijn.
Zoals je zegt 1 systeem gebruiken is en blijft een zwakke schakel. Je kan er 10 pass op los laten, zodra het op 1 systeem zit is het minder veilig.
Het idee van een reader is dat je met 2 systemen werk. De kans dat beide misbruikt kunnen worden is een fractie in vergelijking tot 1 systeem.
Dat zou zijn als de reader uniek gekoppeld is aan jouw.
Iedereen met een reader kan gebruik maken van de ABN site en inloggen als ze je pincode weten, zonder limiet.
(en nu ik het schrijf klinkt het zo bizar dat ik loop te twijfelen of het zo is)
Gelukkig heeft ABN AMRO het nu wel voor elkaar dat je geld kan overboeken naar onbekende rekeningen zonder de random reader.
Gaat dit niet een heel klein beetje voorbij aan het hele doel van dat ding? :P
Daarbij heeft de scanner als voordeel dat deze de transactie-informatie ook op het scherm van de scanner weergeeft, daar zou het dus op moeten vallen als je op een valse tussensite bent beland, waar het bedrag en rekeningnummer aan worden gepast.
[...]


Veiliger dan phone-apps met 2FA op dezelfde phone. Dwz: gebruik de telefoon enkel voor SMS 2FA berichten.
Bedoel je hier nou mee dat je voor de 2FA SMS een aparte telefoon moet gebruiken? If so dan ben ik het volledig met je eens.

p.s. +2 voor "de grote boze digitale buitenwereld"; prachtige beeldspraak.
Daarmee vang je af dat iemand niet in kan loggen als jij je wachtwoord ergens laat slingeren en op vrijwel elke website hetzelfde wachtwoord gebruikt. Je vangt er niet mee af dat ze niet kunnen inloggen als jij je telefoon open en bloot laat liggen.

Met Google Auth of Authy (zelfde laken een pak) doe je dat echter ook niet, tenzij je het openen van de app beveiligd.
Ik gebruik 2FA alleen over 2 verschillende apparaten. Dus inloggen via laptop en code via telefoon. (en ik heb geen smartphone, oude flipphone)
Sommige bedrijven accepteren ook hardware random generators en USB gebaseerde 2-factor systemen. Zeker met een oude flipphone is SMS als 2e factor twijfelachtig aan het worden.
Maar nog altijd veiliger dan wanneer als iemand toegang heeft tot mijn mailbox en er geen extra laag is. En dan moet die persoon al helemaal naar Canada vliegen of naar de plaats van waar de SMS word verzonden om deze te onderscheppen en als nog in te loggen.
Waarom is dat als 2e factor twijfelachtig? Die oude fliphone maakt een al behoorlijk veilig systeem toch alleen nog maar veiliger omdat er op de telefoon zelf geen kwaadaardige apps kunnen draaien?

Edit: en weer iets minder veilig omdat de 2G encryptie deels gekraakt is, maar in de praktijk lijkt dat me nog steeds behoorlijk veilig.

[Reactie gewijzigd door mae-t.net op 29 december 2017 03:13]

Geen aparaat encryptie of beveiliging. Daarnaast zijn er sowieso verschillende aanvallen op SIM kaarten waarbij danwel een nieuwe aangevraagd wordt of een bestaande gekloond wordt. Kortweg, je heb zelf geen volledige controle en het systeem bestaat uit vertrouwen.
Kun je onderscheppen als het dezelfde phone is :F
Nee ik bedoel computer + telefoon met SMS.
Computer als factor 1 en telefoon met SMS als factor 2 is zo goed als waterdicht omdat de kwaadwillende partij 2 apparaten moet aanvallen die niet overduidelijk in verbinding staan of bijelkaar horen. Ik bankier bijd de ING dus ook alleen maar traditioneel en niet met een app.
Kijk anders eventjes naar de reactie waar ik op reageer.
Kon me hier nog een bericht over herinneren waarin het kort genoemd wordt.

nieuws: Google begint met uitfasering van sms bij tweetrapsauthenticatie

sms is niet meer veilig genoeg voor 2FA.
De SMS-jes naar je flipphone zijn sinds 18 augustus 2009 niet meer veilig.
Deze man
https://de.wikipedia.org/wiki/Karsten_Nohl
heeft dat op zijn 21ste dit met een stukje open source software aangetoond:
https://www.heise.de/secu...an-den-Kragen-753193.html
Zie ook: https://web.archive.org/w...://reflextor.com/trac/a51

Op tweakers kon je dat sinds 30 december 2009 lezen:
nieuws: Deel beveiliging gsm-verbindingen is gekraakt

In 2010 toonde hij aan dat je met goedkope apparatuur binnen 20 seconden de inhoud van GSM verkeer kon inzien/afluisteren.

[Reactie gewijzigd door djwice op 28 december 2017 23:08]

Mijn provider ondersteunt niet eens GSM, dus er word geen A5/1 gebruikt.
Daarbij is zoiets een gerichte aanval op een target, dat is niet waar 2FA voornamelijk tegen beschermt. En ik ben gelukkig en oninteressant target. Of in ieder geval economisch gezien niet verantwoordelijk.
Gesteld dat je nog 2G GSM gebruikt, dan moet de aanvaller alsnog jouw GSM identificeren als behorende bij de ook al gekraakte eerste factor. Dat maakt dat het nog steeds bepaald niet triviaal is om langs die weg een aanval op te zetten.
Zulke antwoorden krijg je nou eenmaal met incomplete vraagstellingen zoals 'Hoe zit het dan met SMS als 2FA?'

'Bedankt voor de enige die een relevante reactie plaatst op mijn vraag' een antwoord waaruit blijkt dat 2FA via SMS onveilig is. Ik blijf erbij dat je dat onderhand wel had mogen weten.
Ik heb maar wat linkje gegeven zodat iedereen ook na kan lezen waarom SMS onveilig is : djwice in 'nieuws: Onderzoeker toont aanval op Duitse bankapp en past overboe...
Ik reageerde op
Tja; ik waarschuw iedereen al jaren dat alles wat op de een of andere manier in direct contact staat met de grote boze digitale buitenwereld nooit als tweede factor in 2-factor authenticatie ingezet zou moeten worden.
Met de vraag over SMS want smartphones kunnen in direct contact met de boze digitale buitenwereld staat. Telefoon masten en providers zijn ook verbonden met het internet, alleen iets minder direct.

Welke vorm van 2FA gaat niet over direct contact met de boze digitale buitenwereld?
Ja? Ik haat inmiddels mijn bank reader pakken of pas.

Wat mij betreft is een hack gewoon een risico, ik weiger zo veel gemak in te leveren voor die ene theoretisch mogelijke hack.

Ik wil gemak, niet het meest veilige systeem.
Ik ben altijd verbaasd dat mensen zo achteloos omgaan met het een primaire voorziening als financiële zaken. Het is overigens geen kritiek naar jouw persoonlijk maar een constatering in het algemeen. Bij Digibeten kan ik me het nog voorstellen. Voor meer technisch onderlegde mensen heb ik echter geen begrip:
Geen haar op mijn hoofd die er aan denkt om een App te gebruiken om te gaan internetbankieren.
Het is, denk ik, de 'Nu' tijd die ik overal om me heen zie. Mensen hebben gewoon het geduld niet om even ergens op te wachten, tot het onnozele toe. Afschuiven van eigen verantwoordelijkheid naar andere en dan vooral naar andere wijzen wanneer het misgaat terwijl er nooit in een spiegel wordt gekeken naar wat je zelf hebt verzaakt te doen.


DigiD maakt ook gebruik van 2FA via SMS. Dit is ook een potentieel risico, het wordt tijd dat hier ook een verbetering in komt.
Geen haar op mijn hoofd die er aan denkt om een App te gebruiken om te gaan internetbankieren.
Dus jij gaat met je envelop met geld nog naar de bank om dit te storten? Loopt er een corrupte medewerker die er met je zak geld vandoor gaat.

Nee dit slaat inderdaad nergens op, maar dat vind ik van jouw argument ook niet. Als je met je auto de weg op gaat loopt je ook het risico dat er een dronken chauffeur frontaal tegen je oprijdt. Overal zijn risico's aan verbonden, soms moet je dat met een korreltje zout nemen.
Grappig hoe je zijn opmerking in het belachelijke weet te trekken, met envelop naar de bank. Wat jij schrijft zegt hij niet. Je kan gewoon een reader van je bank gebruiken, kost paar seconden meer maar toch iets meer veiligheid.

Feit is dat hoe meer mensen apps op telefoon gaan gebruiken hoe groter de kans op misbruik zal zijn. Het gaat immers om geld.

Ja het leven heeft idd risico's maar die heb je deels ook zelf in de hand.
Ga jij wel met kale banden als het glad is de weg op. Het risico op een ongeluk heb je dan zelf ook in de hand. Als apps niet veilig zijn heb je de keuze een reader te gebruiken en verminder je de kans op problemen.
En als readers niet veilig zijn kan je met je envelop naar de bank en als een envelop naar de bank niet veilig is kan je het op zolder leggen en als dat niet veilig is kan je...
Een app van de bank hoort gewoon net zo veilig te zijn, als de app niet deugt is de bank daar verantwoordelijk voor en krijg je je geld terug. Omdat het 'digitaal' is, is het ineens eng. Gewoon goed opletten wat je doet en je niet zo druk maken om dingen, is het leven is stuk leuker (en vooral makkelijker met een app) :) .
Een app hoort idd veilig te zijn maar waar het om gaat is dat als je met 2FA werkt dat gescheiden systemen moeten zijn. App en bijv SMS controle op je telefoon is geen goede 2FA
Ik ben me er heel erg van bewust, maar ik wilde met mijn reactie dit ook uit lokken.

Ik vind het inmiddels echt heel irritant als ik mijn reader moet pakken voor een overboeking, pure gewenning.

Maar eerlijk is eerlijk. Ik verlies liever eens in de 5 jaar zeg 50 euro dan altijd die reader te moeten pakken en codes te typen.

Gemak dient de mens wat mij betreft.
Bij de meeste banking apps kun je zelf instellen tot welk bedrag je zonder reader over kunt boeken, daarmee kun je dus in feite zelf je eigen verhouding tussen veiligheid en gemak instellen. Vind ik een prima oplossing :)
Mee eens!
Alhoewel ik de telefoon in de huidige vorm eigenlijk niet veilig genoeg vind, is het gebruiksgemak erg hoog en daarmee de opmars niet meer te stoppen.
Dit soort ontdekkingen zorgen er juist voor dat het veiliger wordt.

Vroeger was internetbankieren op de computer ook niet veilig en hackbaar, dat zien we nu blijkbaar anders.

Hetzelfde geldt voor contactloos pinnen: is een risico om contactloos geskimmed te kunnen worden. Met een maximum bedrag toch blijkbaar een aanvaardbaar risico.
Dat vind ik in theorie ook een prima oplossing. In de praktijk heeft bijvoorbeeld de Rabobank deze keuze bij de klant weggenomen door naar bekende rekeningen (= een rekening waar je het afgelopen jaar al geld naar hebt overgeboekt) altijd toe te staan dat er tot ¤2000 (!!!) per week mag worden overgemaakt zonder RaboScanner. Enkel naar "onbekende" rekeningen kan een andere limiet, van bijvoorbeeld ¤50, worden ingesteld. Zodra je van deze laatste optie gebruik wilt maken, ga je dus automatisch akkoord met de eerste optie.. en daar is wat mij betreft de balans tussen gebruiksgemak en veiligheid heel ver doorgeschoven richting gebruiksgemak.

[Reactie gewijzigd door Wasrek op 29 december 2017 12:22]

Helaas bij ING geen optie. Vandaar dat ik nog steeds mijn papieren tan-lijst heb en de app maar minimaal gebruik op een tablet, dus niet op de telefoon.

Ik blijf natuurlijk risico lopen want mijn pc/browser kan ook gehackt worden, al is het maar met zoiets simpels als een keylogger.
Ja en nee, bij de ABN moet ik deze weiziging accepteren met mijn edentifier
Eénmalig ja, om de instelling te kunnen wIJzigen. Juist goed dat dat niet zonder edentifier kan. Daarmee stel je dus in wat voor jou de balans is tussen gemak en risico.

Voor de anderen bij wie de bank dit niet ondersteunt zou ik gewoon overstappen naar de ASN Bank :)
De SMS code, die vervolgens netjes in je notificatie scherm komt te staan die je gewoon kunt lezen zonder je telefoon unlocked te hebben. (Althans bij mijn telefoon is het zo ingesteld dat ze niet de inhoud etc laten zien, dus gelukkig geen last van)
"achteloos"? Ik vind het risico erg beperkt en de bank geeft wss garantie bij zo'n hacks en krijg je je geld terug.

Ik ga voor meer gemak als er een beperkt risico is. Het is niet zo dat ik 10k kan overmaken zonder reader.
Je realiseert je wel dat de bank tegenwoordig de mogelijke gevolgen van een gecompromitteerde rekening afschuift op de klant?
kan je daar een voorbeeld van geven?
Voor zover ik weet hebben alle 'gehackte' klanten altijd hun geld al terug gekregen.
Is dat zo? Maar dan nog, afhankelijk van het bedrag vind ik dat een te nemen risico.
De 2de factor zou in elk geval een ander apparaat moeten zijn (of naast jou een apparaat).
Mobiele foons met een app, moet daarnaast iets hebben.
ING via internet op PC, tan code via mobiel zijn tenminste 2 apparaten. Rabo en kastje ook (ik twijfels daarover).
Maar internetbankieren op mobiel en Tan code op datzelfde mobiel, is niet 2 factor IMHO.
Ach wie ben ik....
Rabo en kastje ook (ik twijfels daarover).
Dat kastje is compleet gescheiden van enige vorm van extern dataverkeer. Het is wat dat betreft altijd minder gevoelig dan tan codes via SMS of app.
Sterker nog, de microcontroller op je bankpas doet eigenlijk al het werk, die scanner is eigenllijk alleen een doorgeefluik (daarom kan je ook iedere willekeurige scanner gebruiken en is er niets te herleiden naar jouw rekening als je het ding besluit te inspecteren).
Je pas is dus uiteindelijk de eerste factor, en je pincode de tweede (zoals dit ook is als je geld uit de muur haalt of ergens betaalt)

Bedrade scanners die je moet aansluiten op je computer vertrouw ik niet, waarom zou dat nodig zijn. Speciale software op je computer en een USB-verbinding is alleen maar weer een extra aanvalspunt.

[Reactie gewijzigd door Sfynx op 29 december 2017 05:19]

Dat werkt niet handig. Waarom denk je dat de CC zo'n succes is. Veilig, ow zeker niet. maar wel makkelijk. En voor de consument wel veilig, maar daar betaal je voor. Al dan niet indirect.

Maak je het veilig maar onhandig gaan mensen het niet gebruiken. En zit je ondanks je goede bedoelingen zonder klanten.
Dat werkt niet handig. Waarom denk je dat de CC zo'n succes is. Veilig, ow zeker niet. maar wel makkelijk. En voor de consument wel veilig, maar daar betaal je voor. Al dan niet indirect.

Maak je het veilig maar onhandig gaan mensen het niet gebruiken. En zit je ondanks je goede bedoelingen zonder klanten.
Er is altijd een afweging tussen veiligheid en bruikbaarheid. Het is daarbij ook zaak dat je de baby niet met het badwater mee naar buiten gooit. En dat geldt in beide richtingen.
Hier in Nederland betaal jij ervoor, in Amerika betalen de niet CC klanten voor het gemak van de CC klanten.

Met banking apps gaat het niet anders worden. Ik gebruik net zo lief de raboscanner, maar als er zodirect een massa exploit komt van de apps moet ik betalen voor jullie gemak :/
Als consument betaal je altijd waar dan ook ter wereld. In Amerika misschien omdat er meer op afbetaling gedaan wordt. Maar het kan ook zitten in hogere kosten van producten.
Mastercard maakt miljarden winst. En dat kan niet doordat ze geld renteloos voorschieten. Dat komt omdat er per transactie betaald moet worden. En tja uiteindelijk betaal je dat gewoon zelf.
Als de CC transacties geen toeslag krijgen betalen alle klanten voor de transactie kosten van de CC klanten, dat bedoelde ik ermee.

Je bent in Amerika een dief van je eigen portemonnee zonder CC.
Dat ben ik 100% met je eens ;-).
De kans dat ze tegelijk je computer en je telefoon tegelijk rooten is klein, een bevestigings code en transactie informatie via je telefoon krijgen en dan invullen op je computer is redelijk veilig.
Wordt deze beveiling ook bij nederlandse bank apps gebruikt ?
“Dit werkt bij apps die gebruikmaken van een app-based tan via een aparte app.”

ING is volgens mij de enige die tan codes gebruikt maar hoe hun app werkt heb ik geen idee van.
De ING app werkt met een persoonlijke code. Tan-codes heb je alleen nodig bij overboekingen via de computer (als je dat systeem gebruikt). De app moet je overigens wel autoriseren met een tan-code, maar die heb je daarna niet meer nodig. Dan kun je alles doen met je 5-cijferige persoonlijke code die specifiek voor de app. in de app, ingesteld moet worden.
Bij het inloggen op de ING app vraagt ie om de 5 cijferige code maar ook bij een betaling doen.
Bij het inloggen op de ING app vraagt ie om de 5 cijferige code maar ook bij een betaling doen.
Tenzij het een overboeking is naar een rekeningnummer in je adresboek (en volgens mij ook een maximum bedrag)
Nee bij alle overboekingen. Adresboek of niet.
Je hebt gelijk, ben ik in de war denk.... Dan wellicht dat je met enkel fingerprint naar bekende rekeningen kan overmaken en naar "vreemde" rekeningnummers ook je pin in moet geven?
En dit is niet instelbaar?

TAN codes lijken mij ook niet heel veilig, als ik "normaal" iets overmaak, dan moet ik mijn pas, pincode en randomreader hebben.

Hoe ik het lees of je bij de Rabobank alleen een TAN code te hebben (en het rekeningnummer te weten)?
De TAN code krijg je op je specifieke mobiel per sms binnen.

Zelfde simkaart in een andere mobiel stoppen werkt niet meteen. Dat toestel is niet geverifieerd.
Met zelfde simkaart tussen geverifieerde toestellen switchen kan wel.

Ze zullen wel iets op het vaste interne geheugen van het toestel opslaan.

(Je kan ook een lijstje met 10 TAN codes per post krijgen als je het zelfs via de sms niet vertrouwt)
Ja, dat 10 TAN codes per post leek mij zo lek.

Sms is enigzins veilig, als je nog maar een wachtwoord moet invullen voordat je de app opent.

Daarnaast vragen veel apps (Whatsapp) permissie om je sms te lezen, voor "verificatie", maar daar moet je dan specifiek erg mee opletten.

[Reactie gewijzigd door FuaZe op 29 december 2017 10:45]

Welke bankapp gaat dit over? Of geldt dit voor alle Duitse bankapps?
Welke bankapp gaat dit over? Of geldt dit voor alle Duitse bankapps?
Alle apps -- niet alleen bankapps -- die van de middleware oplossing van het bedrijf Promon gebruik maken.
Welke dat dan precies zijn; geen idee. Promon zal ook niet haar complete klantenbestand gaan publiceren, lijkt me.

Dat niemand dit makkelijk kan achterhalen is eigenlijk het andere grote probleem met 2FA via smartphone apps.
Zo lastig zal dat vast niet uit te vinden zijn, meestal zal er wel een of andere library in de apk zitten die dat regelt en daar kun je op zoeken als je Duitse bankenapps download.
Zo lastig zal dat vast niet uit te vinden zijn, meestal zal er wel een of andere library in de apk zitten die dat regelt en daar kun je op zoeken als je Duitse bankenapps download.
Duidelijker als ik "niemand als leek zijnde" had geschreven, mss?
Als iemand root privileges heeft op het device is het bijna onmogelijk om een hack van je app tegen te gaan. Maar je kan het wel proberen moeilijker te maken. Het is echter wel een risico van jailbreaken waar veel mensen wellicht geen rekening mee houden. Een leuke en interessante presentatie hierover is vorige maand bij de Swift User Group Amsterdam gegeven door Pim Stolk van ING.
Als ik root rechten heb wordt er (in elk geval op Android, met iOS ben ik niet zo bekend) gewoonlijk een rootmanager geinstalleerd die regelt welke apps root rechten mogen aanspreken en welke niet. Als ik een hackapp op m'n toestel krijg die buiten dat systeem om rootrechten wil krijgen krijg ik daar meteen een waarschuwing van, iets dat niet geroote toestellen niet krijgen. Uiteraard helpt dat niet tegen mensen die op elke prompt OK drukken maar ik durf de stelling wel aan dat mijn telefoon geroot veiliger is tegen een dergelijke aanval dan niet geroot.
Ik bankier zelf bij een Sparkasse in Duitsland. In mijn regio wordt iedereen juist overgehaald om over te stappen van SMSTAN naar PushTAN.

Als men via de browser bankiert en je wilt de transactie bevestigen, ontvang je een pushmelding van die app en voer je een wachtwoord in. Hierna wordt er een code getoond, die je in kunt vullen in je browser.

Als je via de Mobiel Bankieren app bankiert, opent de PushTAN app automatisch. Hier vul je ook je wachtwoord in, maar het verschil is dat er nu een knop beschikbaar is die de PushTAN code automatisch in de Mobiel Bankieren app voor je invult.
Het is een pot nat, als je geen twee verschillende apparaten gebruikt gaat het altijd kwetsbaar zijn.
Ah ja, Duitse bankapps zie ik massaal in de managed app list van rootcloack staan, die willen gewoonlijk niet werken op een geroot toestel. Met de Nederlandse bankapps die ik er op getest heb - ABN en SNS - is dat geen probleem, die zijn niet zo restrictief. Ik kan in de ABN app bv. ook instellen of ik screenshots wil toestaan of niet ipv dat te moeten forceren met een xposed module als DisableFlagSecure.

[Reactie gewijzigd door Morgan4321 op 30 december 2017 01:59]

Als het een kwestie van tijd is dat systemen gekraakt worden, zal je je telefoon elk halfjaar moeten resetten en overnieuw beginnen, moet je je 2face opnieuw instellen.
Na twee jaar nieuwe telefoon. Merk ook dat banken hun systemen continue wijzigen, elke 5 jaar weer wat anders.
Rabo gaat volledig over op web-based, apps verdwijnen. Voor het eerst over op een Android telefoon, had altijd W10M. Knox van Samsung lijkt veilig, voor zover het duurt. Vingerprint als pin vervanger werkt top, super gebruiksaanwijzing vriendelijk. Swipe paswoorden vermijden, die lees je zo af. Abnamro met wallet werkt ook super contactloos betalen. Zou wel willen dat de pin niet gebruikt kan worden en Vingerprint dat overneemt of gezichtsherkenning. Pin intikken is makkelijk af te kijken.
Wordt tijd voor de blockchain. Transacties over een onveilige verbinding, geen vesleuteling meer nodig en weg met ssl/tls en certificaten kunnen de prullebak in. Man in the middle attack is onmogelijk. Waar wachten we nog op. Kerstmis?

[Reactie gewijzigd door Kafka op 28 december 2017 22:41]

Waar wachten we nog op.
Op het minen van voldoende *-coin/ether/etc. (hoe je het ook wilt noemen)

Als we dit nu zouden implementeren, dan zitten over een paar jaar in de situatie waar we minuten lang bezig zijn om voldoende van die conceptuele eenheid te minen om een transactie vast te kunnen leggen op de chain. Dat wordt namelijk steeds duurder en gedraagt zich, als ik me niet vergis, redelijk exponentieel.

Niet praktisch, dus. Daar moet eerst iets slims op verzonnen worden.

[Reactie gewijzigd door R4gnax op 28 december 2017 23:28]

Als je je wallet op je smartphone hebt ben je meteen alles kwijt als je remote geroot word.

[Reactie gewijzigd door Pinkys Brain op 29 december 2017 08:42]

Compleet off-topic maar er moet toch even stilgestaan worden bij hoe passend het nieuwsbericht ID in de url is.
Dit nieuws artikel heeft het nummer 133337, just saying ;p

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True