Fant sikkerhetshull i norsk mobilbank

Kunne lett stjele penger via Android-app.

Det Ålesund-baserte sikkerhetsselskapet Encripto brukte bare timer på å avdekke sikkerhetshull i Nordeas Android-app for mobilbank.

– Nordeas app for mobilbank kan lastes ned gratis fra Google Play (Android Market). Jeg er selv kunde hos Nordea, og brukte min egen bankkonto for å utføre undersøkelsen. Det første jeg oppdaget var at mobilbanken var sårbar for «man-in-the-middle»-angrep, forteller Juan J. Güelfo hos Encripto.

    Les også:

Kunne stjele penger

Et slikt angrep gir angriperen mulighet til å lese, redigere og modifisere datatrafikken mellom kundens mobilbank og bankens server, uten at noen av partene er klar over at det foregår. Angriperen kan også observere og avskjære datatrafikken mellom de to partene, skriver selskapet i et pressenotat til digi.no.

Güelfo opplyser at angrepet kan brukes til å stjele penger fra kontoen til brukeren, og at angriperen får tilgang til all informasjon som mobilbanken sender til bankserveren.

– Når du som bruker av mobilbanken skal utføre en betaling, kan angriperen avskjære sikkerhetskoden og videresende en tom verdi til serveren. Du vil da få en vanlig feilmelding tilbake fra banken, og sikkert tenke at du bare skrev inn feil kode og prøve på nytt. Angriperen kan deretter bruke sikkerhetskoden for å verifisere en utbetaling, opplyser Güelfo.

– Dårlig avloggingsprosess

Undersøkelsen til Encripto avdekket også at avloggingsprosessen ikke ble håndtert på en god måte, noe som kan resultere i at en angriper kan forbli pålogget i offerets mobilbank, selv om offeret har logget ut. De fant også at sensitive opplysninger, som for eksempel personnummer blir kryptert og lagret men under DES-standarden. Denne er ifølge sikkerhetsselskapet utdatert og lett å knekke.

– Det oppsiktsvekkende er at krypteringsnøkkelen også lagres i telefonens minne, i ren tekst. Det er litt som å låse døren og legge nøkkelen under dørmatten, sier Güelfo.

Selskapet har lagt ut en detaljert gjennomgang (pdf) av funnene.

Daglig leder i Ålesunds-selskapet Encripto, Juan J. Güelfo, fant et alvorlig sikkerhetshull i Nordeas Android-app.
Daglig leder i Ålesunds-selskapet Encripto, Juan J. Güelfo, fant et alvorlig sikkerhetshull i Nordeas Android-app.

– Ikke unormalt

- Det er ikke unormalt at man finner sårbarheter i programvare enten det er til mobiltelefon eller pc. Når slike ting avdekkes gjør vi alt vi kan for å tette sikkerhetshullene så fort som mulig, men det er vel så viktig at alle brukere holder programvaren sin oppdatert og laster ned den nye applikasjonen. Det gjelder både mobiltelefon og pc, skriver kommunikasjonsrådgiver i Nordea, Jørgen Lønnquist i en epost til digi.no.

Han forteller at de involverte sine underleverandører umiddelbart etter at Encripto gjorde dem oppmerksom på sikkerhetshullet.

Rettet opp

– Alle kritiske svakheter i appen ble fikset, og appen ble oppdatert og distribuert kun fem dager etter at Encripto sendte oss sin rapport. Oppdatering av appen ble sendt ut allerede 8. mai, skriver Lønnquist til digi.no.

– Hvordan oppsto denne sårbarheten?

– Det kritiske sikkerhetshullet som ble oppdaget stammer fra en feil i forbindelse med testingen av Android-appen. Denne feilen ble dessverre ikke identifisert og rettet opp før appen ble lansert. Vi beklager at vi lanserte en app med denne sårbarheten, skriver Nordea til digi.no.

– Har dere lagt om rutiner med mer på fremtidige app-produksjon?

– Vi har endret testrutinene våre etter denne saken. Et eksternt sikkerhetsselskap gjennomfører nå mer omfattende tester av appene våre enn tidligere. I tillegg testes programvaren av spesialister internt i Nordea.

– Kundene våre kan føle seg trygge når de bruker elektroniske banktjenester. Det er ikke unormalt at man finner sårbarheter i programvare enten det er til mobiltelefon eller pc. Etter som teknologien utvikler seg, kan det til tider oppstå nye sikkerhetshull i all slags programvare. Vi tester og utbedrer kontinuerlig applikasjonene våre for å påse at de er sikre. Vi setter pris på og tar også tilbakemeldinger, som de vi fikk fra Encripto meget alvorlig.

Til sist understreker Nordea at dersom en kunde, mot formodning, skulle oppleve å bli svindlet etter å ha brukt elektroniske bankløsninger så vil de ikke være skadelidende.

    Les også:

Til toppen