Onderzoeker toont aanval op Duitse bankapp en past overboeking aan

De Duitse beveiligingsonderzoeker Vincent Haupert heeft op de Chaos Computer-conferentie een aanval op een Duitse bankapp getoond, die beveiligd is met technologie van de aanbieder Promon. Zo kon hij over te boeken bedragen manipuleren.

Haupert demonstreerde de aanval tijdens zijn presentatie. Daarvoor maakte hij gebruik van een Android 7.0-toestel dat nog niet tegen het zogenaamde dirtycow-lek was gepatcht. De onderzoeker stelde dat dit nodig was om commando's met root uit te voeren. De aanval bestaat daaruit dat een gebruiker een kwaadaardige app downloadt, bijvoorbeeld uit de Play Store. Deze verwijdert vervolgens de Promon-beveiliging van de al op de telefoon aanwezige bankapp en maakt het volledig geautomatiseerd mogelijk om over te boeken bedragen aan te passen. Dit werkt bij apps die gebruikmaken van een app-based tan via een aparte app.

De onderzoeker heeft zijn project Nomorp genoemd in referentie tot de beschermingsdienst Promon. Deze wordt voornamelijk door Duitse banken gebruikt om hun apps te beveiligen en het bedrijf claimt dat de bescherming ervoor moet zorgen dat de apps ook veilig moeten blijven op toestellen die door malware zijn geïnfecteerd. De dienst beveiligt de apps bijvoorbeeld met technieken als certificate pinning, anti-debugging en rootherkenning.

Tijdens zijn onderzoek kwam Haupert erachter dat het mogelijk was om de dienst van het bedrijf, genaamd Promon Shield, volledig uit te schakelen. Later vond hij een eenvoudigere manier, doordat hij erachter kwam dat het mogelijk was om het configuratiebestand van de dienst, nadat dit ontsleuteld was maar voordat het geparset werd, aan te passen en alle controles uit te schakelen. Daardoor blijft de 'bescherming' actief, maar voert niets uit. De onderzoeker nam contact op met Promon en deelde zijn bevindingen. Inmiddels heeft het bedrijf wijzigingen doorgevoerd, die hij echter nog niet geanalyseerd heeft.

De banken zeiden dat 'er geen gevallen van misbruik bekend zijn'. Haupert uitte kritiek op de ontwikkeling dat banken steeds meer overgaan tot app-based tan-technieken, waarbij de tweede factor volgens hem verloren gaat. Hij stelt dat app hardening een rol kan spelen, maar alleen als aanvullende maatregel. Het zou geen tweetrapsproces kunnen vervangen.

nomorp — Het overschrijven van de configuratie

IT-banen

Reacties (87)

R4gnax 28 december 2017 20:08

Tja; ik waarschuw iedereen al jaren dat alles wat op de een of andere manier in direct contact staat met de grote boze digitale buitenwereld nooit als tweede factor in 2-factor authenticatie ingezet zou moeten worden.

As je te maken hebt met een gecompromiteerd apparaat, dan zal er na meer of minder speuren door kwaadwillenden een manier gevonden worden om zo'n app naar hun pijpen te laten dansen.

Da's niet een kwestie van 'als', maar toch echt van 'wanneer.' Wanneer dat dan precies is, hangt af van hoe 'interessant' de gebruikersgroep is voor criminelen. 2FA middleware zoals van Promon, welke aan banken levert, staat daarbij natuurlijk stipt bovenaan.

[Reactie gewijzigd door R4gnax op 27 juli 2024 14:35]

Kain_niaK @R4gnax • 28 december 2017 20:46

Hoe zit het dan met SMS als 2FA?

R4gnax @Kain_niaK • 28 december 2017 21:27

Hoe zit het dan met SMS als 2FA?

Veiliger dan phone-apps met 2FA op dezelfde phone. Dwz: gebruik de telefoon enkel voor SMS 2FA berichten. Criminelen moeten dan eerst jouw telefoon matchen aan jouw andere systeem en op beiden 'binnen' komen, of ze moeten weten dat een set gedeeltelijke logingegevens die ze hebben, gekoppeld zijn aan jou en de telefoon die jij voor 2FA SMSjes gebruikt.

Dat is een iets hogere drempel dan malware die zich als een worm kan verspreiden en gewoon kan kijken voor de aanwezigheid van bepaalde apps.

SMS 2FA is vanwege de onderschepbaarheid weliswaar gevaarlijk, maar dat speelt eigenlijk voornamelijk wanneer jij specifiek op de korrel genomen zou worden. Meer iets voor bedrijfs- on overheidsspionage of het hacken van interessante personen zoals (digitale) beroemdheden. Niet iets wat willekeurige criminelen bij willekeurige burgers zullen toepassen. Of zelfs maar kunnen toepassen: het onderscheppen vereist nl. een zekere lokale aanwezigheid.

Veiligste blijft natuurlijk gewoon een van de buitenwereld afgesloten security token. Of voor bankzaken het type apparaat dat in de volksmond bekend staat als "random reader"; wat eigenlijk de merknaam van de implementatie van dat soort kastjes bij de Rabobank is geweest, waarmee het in Nederland populair geworden is.

[Reactie gewijzigd door R4gnax op 27 juli 2024 14:35]

gamezfreak @R4gnax • 28 december 2017 23:35

Veiligste blijft natuurlijk gewoon een van de buitenwereld afgesloten security token. Of voor bankzaken het type apparaat dat in de volksmond bekend staat als "random reader"; wat eigenlijk de merknaam van de implementatie van dat soort kastjes bij de Rabobank is geweest, waarmee het in Nederland populair geworden is.

Hier ben ik het met je eens. De random readers mogen dan wel een last zijn, maar veilig zijn ze wel. De token die je terug krijgt van de reader wordt op basis van je naam, rekeningnummer en datum gegenereerd. Maar goed, niet iedereen neemt zijn random reader mee en dat kan dus soms een probleem zijn. Gelukkig heeft ABN AMRO het nu wel voor elkaar dat je geld kan overboeken naar onbekende rekeningen zonder de random reader. Rabobank heeft daarentegen de random reader vernieuwd en scan je dus een QR code i.p.v. de codes in te vullen.

Een afgesloten security token is natuurlijk het veiligst, want jij kan alleen de token invullen. Ik vraag me dan wel af of de beveiliging van de Nederlandse banken door hunzelf wordt gedaan, of door een externe partij. Lijkt me niet echt fijn dat als je via iDeal €50,- betaalt bij een webshop en paar minuten later €2000,- van je rekening wordt afgehaald én op een andere rekening komt, dan die van de webshop...

i-chat @gamezfreak • 29 december 2017 00:28

dat scannen is leuk, maar erg practisch is het allemaal niet, het is zelfs zo'n grote ergernis dat ik overweeg over te stappen naar een bank waar 2FA via bijv een smartphone kan.

over dat onderscheppen van berichten gesproken. dat zou heel eenvoudig op te lossen zijn door een 3e factor toe te passen.

stap 1; vul in je bankieren app of desnoods zelfs in een aparte randomgenerator-app een prive'sleutel in...
stap 2; log in op de website van je bank en geef daar je publieke sleutel
stap 3; bij een transactie zal de bank je een token willen sturen via sms... maar omdat ze je pub.key hebben kunnen ze die versleuteld opsturen.
stap 4; met de app die toegang heeft tot je sms, ontsleutel je de code die gebruikt moet worden om je transactie goed te keuren.

dus zelfs als ze nu je sms zouden onderscheppen, hebben ze daar niets aan...

F-I-X @i-chat • 29 december 2017 03:25

Mij lijkt het gebruik van één systeem (telefoon) voor de hele keten een zwakke schakel. Zeker als de telefoon verre van goed beveiligd is.
In mijn beleving is alles wat je intikt of invoert in je telefoon te onderscheppen. Dus welke code/sleutel dan ook. De enige goede beveiliging is de beveiliging waar een groot deel van de gebruikers niet aan wil omdat het te omslachtig/tijdrovend of te ingewikkeld is. En dus zal het nooit gemaakt worden.

Je ziet het met de toenemende functionaliteit van de bank app van ABN. Hoe mooi het ook is, en alles ook werkt, uiteindelijk is het een verslechtering van de beveiliging. Hoe relatief klein het bedrag ook is, het aantal gebruikers maakt dat weer goed.

Anyway je gedachte is goed maar ik vind het een beetje roepen in de woestijn.

bbob

Netwerk en systeembeheer

@F-I-X • 29 december 2017 09:59

Zoals je zegt 1 systeem gebruiken is en blijft een zwakke schakel. Je kan er 10 pass op los laten, zodra het op 1 systeem zit is het minder veilig.
Het idee van een reader is dat je met 2 systemen werk. De kans dat beide misbruikt kunnen worden is een fractie in vergelijking tot 1 systeem.

F-I-X @bbob • 2 januari 2018 00:52

Dat zou zijn als de reader uniek gekoppeld is aan jouw.
Iedereen met een reader kan gebruik maken van de ABN site en inloggen als ze je pincode weten, zonder limiet.
(en nu ik het schrijf klinkt het zo bizar dat ik loop te twijfelen of het zo is)

Origin64 @gamezfreak • 28 december 2017 23:41

Gelukkig heeft ABN AMRO het nu wel voor elkaar dat je geld kan overboeken naar onbekende rekeningen zonder de random reader.

Gaat dit niet een heel klein beetje voorbij aan het hele doel van dat ding?

boratnl @gamezfreak • 29 december 2017 08:19

Daarbij heeft de scanner als voordeel dat deze de transactie-informatie ook op het scherm van de scanner weergeeft, daar zou het dus op moeten vallen als je op een valse tussensite bent beland, waar het bedrag en rekeningnummer aan worden gepast.

Verwijderd @R4gnax • 29 december 2017 07:15

[...]

Veiliger dan phone-apps met 2FA op dezelfde phone. Dwz: gebruik de telefoon enkel voor SMS 2FA berichten.

Bedoel je hier nou mee dat je voor de 2FA SMS een aparte telefoon moet gebruiken? If so dan ben ik het volledig met je eens.

p.s. +2 voor "de grote boze digitale buitenwereld"; prachtige beeldspraak.

endness @Kain_niaK • 28 december 2017 20:54

Daarmee vang je af dat iemand niet in kan loggen als jij je wachtwoord ergens laat slingeren en op vrijwel elke website hetzelfde wachtwoord gebruikt. Je vangt er niet mee af dat ze niet kunnen inloggen als jij je telefoon open en bloot laat liggen.

Met Google Auth of Authy (zelfde laken een pak) doe je dat echter ook niet, tenzij je het openen van de app beveiligd.

Kain_niaK @endness • 28 december 2017 20:55

Ik gebruik 2FA alleen over 2 verschillende apparaten. Dus inloggen via laptop en code via telefoon. (en ik heb geen smartphone, oude flipphone)

MiesvanderLippe @Kain_niaK • 28 december 2017 21:49

Sommige bedrijven accepteren ook hardware random generators en USB gebaseerde 2-factor systemen. Zeker met een oude flipphone is SMS als 2e factor twijfelachtig aan het worden.

Kain_niaK @MiesvanderLippe • 29 december 2017 02:54

Maar nog altijd veiliger dan wanneer als iemand toegang heeft tot mijn mailbox en er geen extra laag is. En dan moet die persoon al helemaal naar Canada vliegen of naar de plaats van waar de SMS word verzonden om deze te onderscheppen en als nog in te loggen.

mae-t.net @MiesvanderLippe • 29 december 2017 03:09

Waarom is dat als 2e factor twijfelachtig? Die oude fliphone maakt een al behoorlijk veilig systeem toch alleen nog maar veiliger omdat er op de telefoon zelf geen kwaadaardige apps kunnen draaien?

Edit: en weer iets minder veilig omdat de 2G encryptie deels gekraakt is, maar in de praktijk lijkt dat me nog steeds behoorlijk veilig.

[Reactie gewijzigd door mae-t.net op 27 juli 2024 14:35]

MiesvanderLippe @mae-t.net • 29 december 2017 09:16

Geen aparaat encryptie of beveiliging. Daarnaast zijn er sowieso verschillende aanvallen op SIM kaarten waarbij danwel een nieuwe aangevraagd wordt of een bestaande gekloond wordt. Kortweg, je heb zelf geen volledige controle en het systeem bestaat uit vertrouwen.

Damic @Kain_niaK • 28 december 2017 20:52

Kun je onderscheppen als het dezelfde phone is

Kain_niaK @Damic • 28 december 2017 20:53

Nee ik bedoel computer + telefoon met SMS.

mae-t.net @Kain_niaK • 29 december 2017 03:08

Computer als factor 1 en telefoon met SMS als factor 2 is zo goed als waterdicht omdat de kwaadwillende partij 2 apparaten moet aanvallen die niet overduidelijk in verbinding staan of bijelkaar horen. Ik bankier bijd de ING dus ook alleen maar traditioneel en niet met een app.

Kain_niaK @Verwijderd • 28 december 2017 21:22

Kijk anders eventjes naar de reactie waar ik op reageer.

R3MYA @Kain_niaK • 28 december 2017 21:00

Kon me hier nog een bericht over herinneren waarin het kort genoemd wordt.

nieuws: Google begint met uitfasering van sms bij tweetrapsauthenticatie

sms is niet meer veilig genoeg voor 2FA.

djwice

@Kain_niaK • 28 december 2017 22:53

De SMS-jes naar je flipphone zijn sinds 18 augustus 2009 niet meer veilig.
Deze man
https://de.wikipedia.org/wiki/Karsten_Nohl
heeft dat op zijn 21^ste dit met een stukje open source software aangetoond:
https://www.heise.de/secu...an-den-Kragen-753193.html
Zie ook: https://web.archive.org/w...://reflextor.com/trac/a51

Op tweakers kon je dat sinds 30 december 2009 lezen:
nieuws: Deel beveiliging gsm-verbindingen is gekraakt

In 2010 toonde hij aan dat je met goedkope apparatuur binnen 20 seconden de inhoud van GSM verkeer kon inzien/afluisteren.

[Reactie gewijzigd door djwice op 27 juli 2024 14:35]

Kain_niaK @djwice • 29 december 2017 02:45

Mijn provider ondersteunt niet eens GSM, dus er word geen A5/1 gebruikt.
Daarbij is zoiets een gerichte aanval op een target, dat is niet waar 2FA voornamelijk tegen beschermt. En ik ben gelukkig en oninteressant target. Of in ieder geval economisch gezien niet verantwoordelijk.

mae-t.net @djwice • 29 december 2017 03:12

Gesteld dat je nog 2G GSM gebruikt, dan moet de aanvaller alsnog jouw GSM identificeren als behorende bij de ook al gekraakte eerste factor. Dat maakt dat het nog steeds bepaald niet triviaal is om langs die weg een aanval op te zetten.

Verwijderd @Kain_niaK • 28 december 2017 21:56

Zulke antwoorden krijg je nou eenmaal met incomplete vraagstellingen zoals 'Hoe zit het dan met SMS als 2FA?'

'Bedankt voor de enige die een relevante reactie plaatst op mijn vraag' een antwoord waaruit blijkt dat 2FA via SMS onveilig is. Ik blijf erbij dat je dat onderhand wel had mogen weten.

djwice

@Verwijderd • 28 december 2017 22:55

Ik heb maar wat linkje gegeven zodat iedereen ook na kan lezen waarom SMS onveilig is : djwice in 'nieuws: Onderzoeker toont aanval op Duitse bankapp en past overboe...

Kain_niaK @Verwijderd • 29 december 2017 02:49

Ik reageerde op

Tja; ik waarschuw iedereen al jaren dat alles wat op de een of andere manier in direct contact staat met de grote boze digitale buitenwereld nooit als tweede factor in 2-factor authenticatie ingezet zou moeten worden.

Met de vraag over SMS want smartphones kunnen in direct contact met de boze digitale buitenwereld staat. Telefoon masten en providers zijn ook verbonden met het internet, alleen iets minder direct.

Welke vorm van 2FA gaat niet over direct contact met de boze digitale buitenwereld?

Snow_King

@R4gnax • 29 december 2017 00:32

Ja? Ik haat inmiddels mijn bank reader pakken of pas.

Wat mij betreft is een hack gewoon een risico, ik weiger zo veel gemak in te leveren voor die ene theoretisch mogelijke hack.

Ik wil gemak, niet het meest veilige systeem.

Floor @Snow_King • 29 december 2017 08:25

Ik ben altijd verbaasd dat mensen zo achteloos omgaan met het een primaire voorziening als financiële zaken. Het is overigens geen kritiek naar jouw persoonlijk maar een constatering in het algemeen. Bij Digibeten kan ik me het nog voorstellen. Voor meer technisch onderlegde mensen heb ik echter geen begrip:
Geen haar op mijn hoofd die er aan denkt om een App te gebruiken om te gaan internetbankieren.
Het is, denk ik, de 'Nu' tijd die ik overal om me heen zie. Mensen hebben gewoon het geduld niet om even ergens op te wachten, tot het onnozele toe. Afschuiven van eigen verantwoordelijkheid naar andere en dan vooral naar andere wijzen wanneer het misgaat terwijl er nooit in een spiegel wordt gekeken naar wat je zelf hebt verzaakt te doen.

DigiD maakt ook gebruik van 2FA via SMS. Dit is ook een potentieel risico, het wordt tijd dat hier ook een verbetering in komt.

faim @Floor • 29 december 2017 09:47

Geen haar op mijn hoofd die er aan denkt om een App te gebruiken om te gaan internetbankieren.

Dus jij gaat met je envelop met geld nog naar de bank om dit te storten? Loopt er een corrupte medewerker die er met je zak geld vandoor gaat.

Nee dit slaat inderdaad nergens op, maar dat vind ik van jouw argument ook niet. Als je met je auto de weg op gaat loopt je ook het risico dat er een dronken chauffeur frontaal tegen je oprijdt. Overal zijn risico's aan verbonden, soms moet je dat met een korreltje zout nemen.

bbob

Netwerk en systeembeheer

@faim • 29 december 2017 09:55

Grappig hoe je zijn opmerking in het belachelijke weet te trekken, met envelop naar de bank. Wat jij schrijft zegt hij niet. Je kan gewoon een reader van je bank gebruiken, kost paar seconden meer maar toch iets meer veiligheid.

Feit is dat hoe meer mensen apps op telefoon gaan gebruiken hoe groter de kans op misbruik zal zijn. Het gaat immers om geld.

Ja het leven heeft idd risico's maar die heb je deels ook zelf in de hand.
Ga jij wel met kale banden als het glad is de weg op. Het risico op een ongeluk heb je dan zelf ook in de hand. Als apps niet veilig zijn heb je de keuze een reader te gebruiken en verminder je de kans op problemen.

faim @bbob • 29 december 2017 10:06

En als readers niet veilig zijn kan je met je envelop naar de bank en als een envelop naar de bank niet veilig is kan je het op zolder leggen en als dat niet veilig is kan je...
Een app van de bank hoort gewoon net zo veilig te zijn, als de app niet deugt is de bank daar verantwoordelijk voor en krijg je je geld terug. Omdat het 'digitaal' is, is het ineens eng. Gewoon goed opletten wat je doet en je niet zo druk maken om dingen, is het leven is stuk leuker (en vooral makkelijker met een app)

bbob

Netwerk en systeembeheer

@faim • 29 december 2017 11:51

Een app hoort idd veilig te zijn maar waar het om gaat is dat als je met 2FA werkt dat gescheiden systemen moeten zijn. App en bijv SMS controle op je telefoon is geen goede 2FA

Snow_King

@Floor • 29 december 2017 09:19

Ik ben me er heel erg van bewust, maar ik wilde met mijn reactie dit ook uit lokken.

Ik vind het inmiddels echt heel irritant als ik mijn reader moet pakken voor een overboeking, pure gewenning.

Maar eerlijk is eerlijk. Ik verlies liever eens in de 5 jaar zeg 50 euro dan altijd die reader te moeten pakken en codes te typen.

Gemak dient de mens wat mij betreft.

FlowDesign @Snow_King • 29 december 2017 09:47

Bij de meeste banking apps kun je zelf instellen tot welk bedrag je zonder reader over kunt boeken, daarmee kun je dus in feite zelf je eigen verhouding tussen veiligheid en gemak instellen. Vind ik een prima oplossing

djiedjee @FlowDesign • 29 december 2017 12:06

Mee eens!
Alhoewel ik de telefoon in de huidige vorm eigenlijk niet veilig genoeg vind, is het gebruiksgemak erg hoog en daarmee de opmars niet meer te stoppen.
Dit soort ontdekkingen zorgen er juist voor dat het veiliger wordt.

Vroeger was internetbankieren op de computer ook niet veilig en hackbaar, dat zien we nu blijkbaar anders.

Hetzelfde geldt voor contactloos pinnen: is een risico om contactloos geskimmed te kunnen worden. Met een maximum bedrag toch blijkbaar een aanvaardbaar risico.

Wasrek @FlowDesign • 29 december 2017 12:22

Dat vind ik in theorie ook een prima oplossing. In de praktijk heeft bijvoorbeeld de Rabobank deze keuze bij de klant weggenomen door naar bekende rekeningen (= een rekening waar je het afgelopen jaar al geld naar hebt overgeboekt) altijd toe te staan dat er tot €2000 (!!!) per week mag worden overgemaakt zonder RaboScanner. Enkel naar "onbekende" rekeningen kan een andere limiet, van bijvoorbeeld €50, worden ingesteld. Zodra je van deze laatste optie gebruik wilt maken, ga je dus automatisch akkoord met de eerste optie.. en daar is wat mij betreft de balans tussen gebruiksgemak en veiligheid heel ver doorgeschoven richting gebruiksgemak.

[Reactie gewijzigd door Wasrek op 27 juli 2024 14:35]

ckr @FlowDesign • 29 december 2017 13:45

Helaas bij ING geen optie. Vandaar dat ik nog steeds mijn papieren tan-lijst heb en de app maar minimaal gebruik op een tablet, dus niet op de telefoon.

Ik blijf natuurlijk risico lopen want mijn pc/browser kan ook gehackt worden, al is het maar met zoiets simpels als een keylogger.

nld1st @FlowDesign • 29 december 2017 13:58

Ja en nee, bij de ABN moet ik deze weiziging accepteren met mijn edentifier

FlowDesign @nld1st • 29 december 2017 17:36

Eénmalig ja, om de instelling te kunnen wIJzigen. Juist goed dat dat niet zonder edentifier kan. Daarmee stel je dus in wat voor jou de balans is tussen gemak en risico.

Voor de anderen bij wie de bank dit niet ondersteunt zou ik gewoon overstappen naar de ASN Bank

Verwijderd @Floor • 29 december 2017 09:40

De SMS code, die vervolgens netjes in je notificatie scherm komt te staan die je gewoon kunt lezen zonder je telefoon unlocked te hebben. (Althans bij mijn telefoon is het zo ingesteld dat ze niet de inhoud etc laten zien, dus gelukkig geen last van)

Boy @Floor • 29 december 2017 11:43

"achteloos"? Ik vind het risico erg beperkt en de bank geeft wss garantie bij zo'n hacks en krijg je je geld terug.

Ik ga voor meer gemak als er een beperkt risico is. Het is niet zo dat ik 10k kan overmaken zonder reader.

Durandal @Snow_King • 29 december 2017 03:06

Je realiseert je wel dat de bank tegenwoordig de mogelijke gevolgen van een gecompromitteerde rekening afschuift op de klant?

telenut @Durandal • 29 december 2017 09:06

kan je daar een voorbeeld van geven?
Voor zover ik weet hebben alle 'gehackte' klanten altijd hun geld al terug gekregen.

Snow_King

@Durandal • 29 december 2017 09:20

Is dat zo? Maar dan nog, afhankelijk van het bedrag vind ik dat een te nemen risico.

Luno @R4gnax • 28 december 2017 21:38

De 2de factor zou in elk geval een ander apparaat moeten zijn (of naast jou een apparaat).
Mobiele foons met een app, moet daarnaast iets hebben.
ING via internet op PC, tan code via mobiel zijn tenminste 2 apparaten. Rabo en kastje ook (ik twijfels daarover).
Maar internetbankieren op mobiel en Tan code op datzelfde mobiel, is niet 2 factor IMHO.
Ach wie ben ik....

R4gnax @Luno • 28 december 2017 22:25

Rabo en kastje ook (ik twijfels daarover).

Dat kastje is compleet gescheiden van enige vorm van extern dataverkeer. Het is wat dat betreft altijd minder gevoelig dan tan codes via SMS of app.

Sfynx @R4gnax • 29 december 2017 05:08

Sterker nog, de microcontroller op je bankpas doet eigenlijk al het werk, die scanner is eigenllijk alleen een doorgeefluik (daarom kan je ook iedere willekeurige scanner gebruiken en is er niets te herleiden naar jouw rekening als je het ding besluit te inspecteren).
Je pas is dus uiteindelijk de eerste factor, en je pincode de tweede (zoals dit ook is als je geld uit de muur haalt of ergens betaalt)

Bedrade scanners die je moet aansluiten op je computer vertrouw ik niet, waarom zou dat nodig zijn. Speciale software op je computer en een USB-verbinding is alleen maar weer een extra aanvalspunt.

[Reactie gewijzigd door Sfynx op 27 juli 2024 14:35]

Kevinp @R4gnax • 28 december 2017 23:15

Dat werkt niet handig. Waarom denk je dat de CC zo'n succes is. Veilig, ow zeker niet. maar wel makkelijk. En voor de consument wel veilig, maar daar betaal je voor. Al dan niet indirect.

Maak je het veilig maar onhandig gaan mensen het niet gebruiken. En zit je ondanks je goede bedoelingen zonder klanten.

R4gnax @Kevinp • 28 december 2017 23:23

Dat werkt niet handig. Waarom denk je dat de CC zo'n succes is. Veilig, ow zeker niet. maar wel makkelijk. En voor de consument wel veilig, maar daar betaal je voor. Al dan niet indirect.

Maak je het veilig maar onhandig gaan mensen het niet gebruiken. En zit je ondanks je goede bedoelingen zonder klanten.

Er is altijd een afweging tussen veiligheid en bruikbaarheid. Het is daarbij ook zaak dat je de baby niet met het badwater mee naar buiten gooit. En dat geldt in beide richtingen.

Pinkys Brain @Kevinp • 29 december 2017 08:52

Hier in Nederland betaal jij ervoor, in Amerika betalen de niet CC klanten voor het gemak van de CC klanten.

Met banking apps gaat het niet anders worden. Ik gebruik net zo lief de raboscanner, maar als er zodirect een massa exploit komt van de apps moet ik betalen voor jullie gemak

Kevinp @Pinkys Brain • 29 december 2017 09:14

Als consument betaal je altijd waar dan ook ter wereld. In Amerika misschien omdat er meer op afbetaling gedaan wordt. Maar het kan ook zitten in hogere kosten van producten.
Mastercard maakt miljarden winst. En dat kan niet doordat ze geld renteloos voorschieten. Dat komt omdat er per transactie betaald moet worden. En tja uiteindelijk betaal je dat gewoon zelf.

Pinkys Brain @Kevinp • 29 december 2017 11:29

Als de CC transacties geen toeslag krijgen betalen alle klanten voor de transactie kosten van de CC klanten, dat bedoelde ik ermee.

Je bent in Amerika een dief van je eigen portemonnee zonder CC.

Kevinp @Pinkys Brain • 29 december 2017 12:19

Dat ben ik 100% met je eens ;-).

Pinkys Brain @R4gnax • 29 december 2017 08:34

De kans dat ze tegelijk je computer en je telefoon tegelijk rooten is klein, een bevestigings code en transactie informatie via je telefoon krijgen en dan invullen op je computer is redelijk veilig.

HKLM_ 28 december 2017 20:06

Wordt deze beveiling ook bij nederlandse bank apps gebruikt ?

Cowamundo @HKLM_ • 28 december 2017 20:09

“Dit werkt bij apps die gebruikmaken van een app-based tan via een aparte app.”

ING is volgens mij de enige die tan codes gebruikt maar hoe hun app werkt heb ik geen idee van.

SomerenV @Cowamundo • 28 december 2017 20:13

De ING app werkt met een persoonlijke code. Tan-codes heb je alleen nodig bij overboekingen via de computer (als je dat systeem gebruikt). De app moet je overigens wel autoriseren met een tan-code, maar die heb je daarna niet meer nodig. Dan kun je alles doen met je 5-cijferige persoonlijke code die specifiek voor de app. in de app, ingesteld moet worden.

RAAF12 @SomerenV • 28 december 2017 21:09

Bij het inloggen op de ING app vraagt ie om de 5 cijferige code maar ook bij een betaling doen.

Superkanjo @RAAF12 • 28 december 2017 22:01

Bij het inloggen op de ING app vraagt ie om de 5 cijferige code maar ook bij een betaling doen.

Tenzij het een overboeking is naar een rekeningnummer in je adresboek (en volgens mij ook een maximum bedrag)

Euronitwit

@Superkanjo • 28 december 2017 23:34

Nee bij alle overboekingen. Adresboek of niet.

Superkanjo @Euronitwit • 28 december 2017 23:38

Je hebt gelijk, ben ik in de war denk.... Dan wellicht dat je met enkel fingerprint naar bekende rekeningen kan overmaken en naar "vreemde" rekeningnummers ook je pin in moet geven?

Accretion @Euronitwit • 29 december 2017 10:14

En dit is niet instelbaar?

TAN codes lijken mij ook niet heel veilig, als ik "normaal" iets overmaak, dan moet ik mijn pas, pincode en randomreader hebben.

Hoe ik het lees of je bij de Rabobank alleen een TAN code te hebben (en het rekeningnummer te weten)?

Euronitwit

@Accretion • 29 december 2017 10:28

De TAN code krijg je op je specifieke mobiel per sms binnen.

Zelfde simkaart in een andere mobiel stoppen werkt niet meteen. Dat toestel is niet geverifieerd.
Met zelfde simkaart tussen geverifieerde toestellen switchen kan wel.

Ze zullen wel iets op het vaste interne geheugen van het toestel opslaan.

(Je kan ook een lijstje met 10 TAN codes per post krijgen als je het zelfs via de sms niet vertrouwt)

Accretion @Euronitwit • 29 december 2017 10:44

Ja, dat 10 TAN codes per post leek mij zo lek.

Sms is enigzins veilig, als je nog maar een wachtwoord moet invullen voordat je de app opent.

Daarnaast vragen veel apps (Whatsapp) permissie om je sms te lezen, voor "verificatie", maar daar moet je dan specifiek erg mee opletten.

[Reactie gewijzigd door Accretion op 27 juli 2024 14:35]

Ofthewell 28 december 2017 20:35

Welke bankapp gaat dit over? Of geldt dit voor alle Duitse bankapps?

R4gnax @Ofthewell • 28 december 2017 20:41

Welke bankapp gaat dit over? Of geldt dit voor alle Duitse bankapps?

Alle apps -- niet alleen bankapps -- die van de middleware oplossing van het bedrijf Promon gebruik maken.
Welke dat dan precies zijn; geen idee. Promon zal ook niet haar complete klantenbestand gaan publiceren, lijkt me.

Dat niemand dit makkelijk kan achterhalen is eigenlijk het andere grote probleem met 2FA via smartphone apps.

Verwijderd @R4gnax • 30 december 2017 02:03

Zo lastig zal dat vast niet uit te vinden zijn, meestal zal er wel een of andere library in de apk zitten die dat regelt en daar kun je op zoeken als je Duitse bankenapps download.

R4gnax @Verwijderd • 30 december 2017 15:47

Zo lastig zal dat vast niet uit te vinden zijn, meestal zal er wel een of andere library in de apk zitten die dat regelt en daar kun je op zoeken als je Duitse bankenapps download.

Duidelijker als ik "niemand als leek zijnde" had geschreven, mss?

Milt 28 december 2017 20:25

Als iemand root privileges heeft op het device is het bijna onmogelijk om een hack van je app tegen te gaan. Maar je kan het wel proberen moeilijker te maken. Het is echter wel een risico van jailbreaken waar veel mensen wellicht geen rekening mee houden. Een leuke en interessante presentatie hierover is vorige maand bij de Swift User Group Amsterdam gegeven door Pim Stolk van ING.

Verwijderd @Milt • 30 december 2017 02:05

Als ik root rechten heb wordt er (in elk geval op Android, met iOS ben ik niet zo bekend) gewoonlijk een rootmanager geinstalleerd die regelt welke apps root rechten mogen aanspreken en welke niet. Als ik een hackapp op m'n toestel krijg die buiten dat systeem om rootrechten wil krijgen krijg ik daar meteen een waarschuwing van, iets dat niet geroote toestellen niet krijgen. Uiteraard helpt dat niet tegen mensen die op elke prompt OK drukken maar ik durf de stelling wel aan dat mijn telefoon geroot veiliger is tegen een dergelijke aanval dan niet geroot.

SASQUATXH 28 december 2017 21:04

Ik bankier zelf bij een Sparkasse in Duitsland. In mijn regio wordt iedereen juist overgehaald om over te stappen van SMSTAN naar PushTAN.

Als men via de browser bankiert en je wilt de transactie bevestigen, ontvang je een pushmelding van die app en voer je een wachtwoord in. Hierna wordt er een code getoond, die je in kunt vullen in je browser.

Als je via de Mobiel Bankieren app bankiert, opent de PushTAN app automatisch. Hier vul je ook je wachtwoord in, maar het verschil is dat er nu een knop beschikbaar is die de PushTAN code automatisch in de Mobiel Bankieren app voor je invult.

Pinkys Brain @SASQUATXH • 29 december 2017 08:31

Het is een pot nat, als je geen twee verschillende apparaten gebruikt gaat het altijd kwetsbaar zijn.

Verwijderd 29 december 2017 01:41

Ah ja, Duitse bankapps zie ik massaal in de managed app list van rootcloack staan, die willen gewoonlijk niet werken op een geroot toestel. Met de Nederlandse bankapps die ik er op getest heb - ABN en SNS - is dat geen probleem, die zijn niet zo restrictief. Ik kan in de ABN app bv. ook instellen of ik screenshots wil toestaan of niet ipv dat te moeten forceren met een xposed module als DisableFlagSecure.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 14:35]

BobJung

29 december 2017 04:19

Als het een kwestie van tijd is dat systemen gekraakt worden, zal je je telefoon elk halfjaar moeten resetten en overnieuw beginnen, moet je je 2face opnieuw instellen.
Na twee jaar nieuwe telefoon. Merk ook dat banken hun systemen continue wijzigen, elke 5 jaar weer wat anders.
Rabo gaat volledig over op web-based, apps verdwijnen. Voor het eerst over op een Android telefoon, had altijd W10M. Knox van Samsung lijkt veilig, voor zover het duurt. Vingerprint als pin vervanger werkt top, super gebruiksaanwijzing vriendelijk. Swipe paswoorden vermijden, die lees je zo af. Abnamro met wallet werkt ook super contactloos betalen. Zou wel willen dat de pin niet gebruikt kan worden en Vingerprint dat overneemt of gezichtsherkenning. Pin intikken is makkelijk af te kijken.

Kafka 28 december 2017 22:39

Wordt tijd voor de blockchain. Transacties over een onveilige verbinding, geen vesleuteling meer nodig en weg met ssl/tls en certificaten kunnen de prullebak in. Man in the middle attack is onmogelijk. Waar wachten we nog op. Kerstmis?

[Reactie gewijzigd door Kafka op 27 juli 2024 14:35]

R4gnax @Kafka • 28 december 2017 23:26

Waar wachten we nog op.

Op het minen van voldoende *-coin/ether/etc. (hoe je het ook wilt noemen)

Als we dit nu zouden implementeren, dan zitten over een paar jaar in de situatie waar we minuten lang bezig zijn om voldoende van die conceptuele eenheid te minen om een transactie vast te kunnen leggen op de chain. Dat wordt namelijk steeds duurder en gedraagt zich, als ik me niet vergis, redelijk exponentieel.

Niet praktisch, dus. Daar moet eerst iets slims op verzonnen worden.

[Reactie gewijzigd door R4gnax op 27 juli 2024 14:35]

Pinkys Brain @Kafka • 29 december 2017 08:28

Als je je wallet op je smartphone hebt ben je meteen alles kwijt als je remote geroot word.

[Reactie gewijzigd door Pinkys Brain op 27 juli 2024 14:35]