SKREMT: Sikkerhetseksperten Einar Otto Stangvik brukte ikke lang tid på å finne flere hull i en rekke norske apper. (Foto: Ole Petter Baugerød Stokke)
Nettbank-appene er sårbare
Hackere kan enkelt legge inn egne nettsider og lese av data. Nå tar bankene affære.
Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon
Artikkelen fortsetter under annonsen
– Jeg tror vi er litt naive, sier Einar Otto Stangvik til DinSide. Han ble i sommer kjent som "super-hacker" gjennom VG, etter å ha avslørt en Høyre-politikers spredning av nakenbilder, stjålet fra intetanende kvinner.
Til daglig jobber han som sikkerhetsekspert i sitt eget enmannsselskap Indev. Nå har Stangvik gått gjennom en rekke av de mest brukte norske appene, og kan til DinSide avsløre det han ser på som store svakheter i mange av dem.
Det var på høy tid noen sjekket dette, mener Stangvik. Norske apper kan bryte loven, mener Datatilsynet
Angrep #1: Falskt innhold i appen
DinSide møter ham på kafeen Laundromat i Oslo. Stangvik logger seg på kafeens nettverk på mobilen, slik alle gjestene kan, og gjør det samme med PC-en. Hundrevis av tekstlinjer farer over skjermen hans. Målet er først å lure mobilen til å tro at PC-en er den trådløse ruteren, så all kommunikasjon mellom mobilen og internett foregår via Stangvik. Han får da kontroll over hva serverne og appene sier til hverandre. Dette kalles et "man-in-the-middle"-angrep, da noen befinner seg mellom deg og nettet uten at du vet om det. På denne måten kan hackeren både lese av og endre data som går mellom nettet og mobilen. Og det er nettopp slike angrep Stangvik mener de norske appene er sårbare for.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsen
"MANN I MIDTEN": Når hackeren befinner seg mellom appen og serverne appen bruker, kan han både lese av og sende data til den.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenHan viser oss første eksempel: DNBs nettbank-app henter ned data fra DNBs servere for å vise diverse info i bokser øverst i appen. Men når både mobilen og serverne har blitt lurt til å snakke med hverandre via Stangviks PC, i stedet for direkte med hverandre, kan han endre boksene som han vil. Han trenger bare å stanse innholdet serveren forsøker å sende appen, og bytte dette ut med sitt eget. "Du har vunnet! Klikk her for å se mer" står det plutselig i DNBs egen app. Boksen er falsk, og lenken sender brukeren til Stangviks egen nettside.
Hvorfor vil Wordfeud lese kontaktlisten vår? Vi spurte utvikleren
– Når folk går på phishing-e-poster skrevet på dårlig norsk, tenk hvor lurt de blir av dette. Mange vil tenke "Om nettbank-appen sier jeg har vunnet, så har jeg vel det!", mener Stangvik.
Artikkelen fortsetter under annonsenDet falske innholdet kan brukes for å svindle til seg folks sensitive informasjon, for eksempel for å logge seg inn på andres nettbanker. Og i noen tilfeller kan det falske innholdet sprøyte ondsinnet programvare inn på mobilen din, så angrepene kan spre seg. Han viser oss det samme type angrepet også på Nordea sin Android-app, og en video av et angrep på SpareBank 1 sin iPhone-app.
Angrep #2: Lese sensitiv informasjon
Stangvik tar en slurp kaffe og skriver nye linjer på PC-en sin. Han har enda mer på lager. DNB-appen sender informasjon om deg mellom mobilen din og DNBs servere. Ettersom Stangviks PC befinner seg mellom disse, kan han lese av dataen. På skjermen ruller derfor saldoen, de ti siste transaksjonene og bruker-ID-en til bankkontoen (ikke kontonummeret) over skjermen hans når han åpner appen på mobilen. Stangvik åpner en annen app for å vise det samme: En av våre mest brukte reiseapper. Her får han raskt ut både brukernavn, passord og eventuell betalingsinformasjon brukeren legger inn. Det samme har han fått til i enda en slik, norsk reiseapp. Selv om informasjonen kan være kryptert, trenger det ifølge Stangvik ikke å være noe problem å bruke den.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsen
LEKASJE: Dette sier kanskje ikke deg stort, men for en hacker kan slik informasjon for eksempel bety passordene dine, hentet fra appene dine. (Foto: Ole Petter Baugerød Stokke)
De norske appene han har sjekket er altså sårbare for to type angrep: Falsk informasjon inn i appene, og informasjon som lekker ut av appene.
– Jeg synes begge er like skremmende, sier Stangvik, som forteller han bare brukte tre dager på å finne alle hullene.
– Det er uhyre lite komplisert, alt du trenger finner du gratis på nettet. Jeg er overrasket over at ingen har gjort dette allerede.
Slik blir din nye BankID-hverdag uten Java Mange av hullene gjelder både på Android og iPhone. Og det appene gjør feil, ifølge Stangvik, er å ikke sjekke at serveren appen snakker med faktisk tilhører appen. Dermed kan han late som om PC-en hans er for eksempel DNBs server, og lese og endre det som sendes, selv når informasjonen er kryptert.
Artikkelen fortsetter under annonsen– Utviklerne har vært naive, mener Stangvik.
FÅR TAKK: Einar Otto Stangvik har snakket med bankene, som nå har oppdatert appene og takker Stangvik for hjelpen.
Bankene tar grep
Stangvik har advart alle involverte om hullene. Mange av appene er derfor nå oppdaterte for å rette disse feilene, deriblant DNB sin. DNB-appen Stangvik brukte under vår demonstrasjon var rundt én uke gammel, så fortsatt er det trolig mange som har de usikre appene på sine mobiler. "Vi burde naturligvis ha oppdaget dette selv, og derfor har vi nå gått gjennom våre rutiner for testing av denne typen IT-løsninger, slik at vi sikrer oss best mulig mot slike feil i fremtiden" skriver informasjonsdirektør Even Westerveld i DNB til DinSide, som understreker at de ikke har sett noe misbruk av hullet.
Artikkelen fortsetter under annonsen
ORDNER OPP: Kommunikasjonssjef Unni Strømstad i Nordea lover at appen blir sikrere. (Foto: Nordea)
Også SpareBank 1 har oppdatert appen sin, selv om de ikke har sett noe misbruk.
"Feilen skyldes en kvalitetssvikt hos oss da vi åpnet for bruk av annonse-bannere inne i selve appen. Svakheten har ikke vært knyttet til mobilbanken som kunden har tilgang til via appen" skriver kommunikasjonsdirektør Christian Brosstad i SpareBank 1 til DinSide.
Hvordan kan nettbanken vite hva som står på kodebrikken din?
Nordea lover også bot og bedring. "Men vi har ikke så langt identifisert at Android-appen vår utnyttes til denne typen angrep. Vi følger opp dette fortløpende i vår mobilutvikling" skriver kommunikasjonssjef Unni Strømstad i Nordea til DinSide.
Alle tre takker Stangvik for at han gjorde dem oppmerksom på svakhetene. Han skal også ha funnet liknende hull i flere andre norske apper, som han ikke har rukket å snakke med ennå. DinSide har dessuten utelatt navn på apper fra selskaper vi ikke har fått kommentarer fra ennå.
Som alltid er det viktig at du oppdaterer programmene dine, også på mobilen. DinSide kommer snart tilbake med flere tips om hvordan du kan sikre deg mot slike type angrep.