neprihlásený Štvrtok, 5. decembra 2024, dnes má meniny Oto
Slovenská sporiteľňa má bezpečnostnú chybu v Android aplikácii, umožňuje zo smartfónu aj ukradnúť prostriedky

Značky: bezpečnosťSlovenská sporiteľňaaplikácieAndroid

DSL.sk, 17.9.2014


V mobilných aplikáciách banky Slovenská sporiteľna sa nachádzajú bezpečnostné chyby a zraniteľnosti, ktoré v niektorých scenároch po získaní cudzieho smartfónu umožňujú získať prístup k informáciám o účtoch užívateľa alebo dokonca ukradnúť prostriedky z jeho účtu.

Zraniteľnosti identifikoval čitateľ servera DSL.sk, ktorý si neželal byť menovaný a ktorý používa prezývku kapor.

Primárna chyba sa nachádza v aplikácii Účty určenej pre pasívnu kontrolu informácií o účtoch. Prístup do tejto aplikácie je chránený PIN-om. Štandardom mobilných bankových aplikácií je samozrejme vyžadovať PIN po každom opustení aplikácie a opätovnom návrate, keďže užívatelia končia prácu s mobilnými aplikáciami rozličnými spôsobmi.

Takýto štandard dodržiava aj aplikácia Účty, ktorá si vypýta PIN po každom prepnutí sa do aplikácie. Zadanie PIN-u sa dá ale pri návrate do predtým spustenej aplikácie, ktorá nebola ukončená odhlásením sa z účtu, obísť jednoduchým stlačením tlačidla Späť na smartfóne.

Podľa banky k odhláseniu prichádza na väčšine zariadení okrem explicitného odhlásenia sa užívateľom aj po stlačení domovského tlačidla zobrazujúceho štartovaciu obrazovku. U čitateľa, ktorý zraniteľnosť objavil, tomu tak ale na dvoch testovaných zariadeniach nebolo. Aplikácia sa zároveň neodhlási, ak sa užívateľ prepne do inej aplikácie cez menu spustených aplikácií alebo napríklad notifikácie.

Po získaní prístupu do aplikácie po obídení PIN-u tlačidlom Späť získa prípadný útočník len obmedzený prístup k aplikácii a k dispozícii má informácie o účte v záložke Info a informácie o zoskupených platbách v záložke Skupiny. Záložka Obraty je prázdna.

Čitateľ ale identifikoval až dva spôsoby, ako je možné získať plný prístup k aplikácii. Jedným je jednoduché ďalšie stlačenie tlačidla Späť pri otvorenej prázdnej záložke Obraty, druhým je kliknutie na niektorú zo skupín v záložke Skupiny. Aplikácia v tomto prípade skončí chybou, reštartne sa a otvorí sa s plným prístupom bez zadania PIN-u.


Záložka Obraty po obídení PIN tlačidlom Späť (vľavo), chyba zobrazená pri otvorení detailov skupiny transakcií (screenshoty: čitateľ)



Zraniteľnosti ale nekončia pri získaní pasívneho prístupu. Z menu aplikácie Účty je totiž možné spustiť aplikáciu Platby, ktorá pri takomto spôsobe spustenia nevyžaduje zadanie PIN-u. Útočník následne získava prístup aj k možnosti realizovať aktívne operácie.

Ak má užívateľ smartfónu nastavené overovanie platieb cez SMS s číslom daného smartfónu, po takomto spôsobe získania prístupu do aplikácie môže útočník uskutočniť aj prevody na ľubovoľný účet. Zároveň je aj pri iných spôsoboch overovania podľa čitateľa možné minimálne napríklad zmeniť číslo účtu, kam sa odosielajú pravidelné a preddefinované platby.

V stanovisku pre server DSL.sk banka zraniteľnosť potvrdila a informuje, že zatiaľ nezaznamenala zneužitie aplikácie. "Za upozornenie ďakujeme, chybu odstránime v najbližších dňoch," uviedol pre DSL.sk Štefan Frimmer, hovorca banky.

Zneužitie zraniteľnosti má viacero predpokladov, ktoré výrazne limitujú možnosť masového zneužívania. Útočník totiž musí získať prístup k odomknutému smartfónu užívateľa, ktorý aplikáciu banky použil najneskôr pred pätnástimi minútami a neopustil ju explicitným odhlásením sa. Po takomto čase neaktivity totiž podľa stanoviska banky prihlásenie vyprší a zraniteľnosť už nie je možné zneužiť.

Zároveň je pre užívateľov k dispozícii jednoduché odporúčanie ako úplne zabrániť zneužitiu aplikácie, vždy ju opúšťať explicitným odhlásením sa. Banka tiež odporúča mať smartfón, na ktorom užívateľ používa jej aplikácie, chránený prihlásením sa buď cez PIN, dotykové gesto alebo inými spôsobmi a samozrejme nenechávať smartfón odomknutý, ak sa z bankovej aplikácie neodhlásil.


      Zdieľaj na Twitteri



Najnovšie články:

V Španielsku navrhujú smartfóny nedávať deťom a dať na ne upozornenia na zdravotné riziká
Bitcoin dosiahol novú rekordnú cenu nad 100-tisíc dolárov
Novým šéfom NASA bude vesmírny turista cestujúci so SpaceX
Amazon predstavil nový akcelerátor AI pre trénovanie neurónových sietí
Telekom má nakoniec 100 GB balík pre všetkých zákazníkov predplatených kariet dlhšie
Musk ako budúci predstaviteľ administratívy navrhuje v USA zrušiť posúvanie času - aktualizácia 1
Skylink preladil dôležité stanice
CEO Intelu bol donútený odstúpiť správnou radou
UPC vo vianočnej akcii sprístupní všetkým TV zákazníkom 42 staníc
Rast podielu Windows 11 sa zastavil


Diskusia:
                               
 

O tom to celom na tom sku.. svete je :)
Odpovedať Známka: -5.6 Hodnotiť:
 

ale aspoň majú gule, že to priznajú a ešte aj poďakujú.
Odpovedať Známka: 9.6 Hodnotiť:
 

To je tak ked sa ludia neboja pouzivat ibanking z androidu. Niekto na to raz doplati
Odpovedať Známka: 1.5 Hodnotiť:
 

máš plus za vtipnosť, doplatili už mnohí :)
Odpovedať Známka: 6.0 Hodnotiť:
 

a peniaze im vratili... takze je im to fuk
Odpovedať Hodnotiť:
 

posielam patch :)
Odpovedať Známka: 7.5 Hodnotiť:
 

kde udelali soudruzi testeri chybu ?
Odpovedať Známka: 7.3 Hodnotiť:
 

Developers, developers, developers, developers, developers!
Odpovedať Známka: 10.0 Hodnotiť:
 

Na toto mám patent výhradne ja. Čo si ty urobil pre basketbal ?
Odpovedať Známka: 7.6 Hodnotiť:
 

a pritom takova blbost
Odpovedať Známka: 10.0 Hodnotiť:
 

vsak toto ;)
Odpovedať Známka: 10.0 Hodnotiť:
 

To je tak, ked ako testerov zamestnavaju studentov socialnych vied na dohodu za 3eura/hod..
Odpovedať Známka: 6.7 Hodnotiť:
 

hej teraz skaces, ale par mesiacov dozadu ti boli dobre aj tie 3 eura
Odpovedať Známka: 8.1 Hodnotiť:
 

Netrafil si, ale pobavilo. Posielam kvety a Doom do tvojej tlaciarne.
Odpovedať Známka: 8.2 Hodnotiť:
 

Mam 19 znakove heslo do uctu v internetbankingu. Uz viac ako 2 roky ich bombardujem, ze sa pomocou takeho dlheho hesla neda v v tej ich uzasnej apke prihlasit. Doteraz to nevyriesili. Ked tak pozeram na tu bezpecnostnu chybu, tak som v podstate rad. SlSp, dakujem vam :D
Odpovedať Známka: 5.5 Hodnotiť:
 

HOVNO
Odpovedať Známka: -4.8 Hodnotiť:
 

dobolim si rypat:

na prihlasovacom formulari do internetbankingu je v policku s heslom takyto atribut: maxlength="16"

Ako sa teda prihlasujes tam? Tiez ich bombardujes, aby to upravili? :)
Odpovedať Známka: 10.0 Hodnotiť:
 

blufoval, ma standardne: Vlozteheslo123
Odpovedať Známka: 10.0 Hodnotiť:
 

dobol si co chces...
Odpovedať Hodnotiť:
 

doBolim si odpovedat na tvoje rypanie:

Atribut maxlength ocividne znamena maximalne mnozstvo zobrazenych znakov.

Takze najprv si to over a potom si doBol rypat.
Odpovedať Známka: -5.0 Hodnotiť:
 

kaprovi
Odpovedať Známka: 7.8 Hodnotiť:
 

android ...
Odpovedať Známka: -4.0 Hodnotiť:
 

Aj VUB ma tento problem. Po prihlaseni do IB cez ich aplikaciu (rozumej prehliadac ktory sa tvari ako aplikacia) a po stlaceni domovskeho tlacitka sa da bez pinu vratit naspet do uz prihlaseneho uctu. Alebo staci aj po prihlaseni zablokovat telefon a znovu odblokovat a aha zase si v prihlasenom IB. Odhlasi sa az po 5min necinnosti alebo tlacitkom odhlasit sa.
Odpovedať Známka: 7.6 Hodnotiť:
 

A pyta to tiez po obnoveni PIN? tu je podstata ze vypýta PIN ktory je ale aktualne na okrasu ;)
Odpovedať Známka: 10.0 Hodnotiť:
 

nepyta nic... problem je ale ten ze ta appka je len prehliadac ktory otvori mobilnu verziu IB od VUB. Nechapem ako moze mat banka ako VUB taketo zle riesenie. Zuno to ma spravene ukazkovo, po kazdom prekliknuti do aplikacie pyta PIN.
Odpovedať Známka: 8.3 Hodnotiť:
 

co sa tyka VUBky, tak ked len toto nechapes, tak si celkom stastny clovek
Odpovedať Známka: 6.0 Hodnotiť:
 

Akurat ze VUB to ma naschval... preco by si pri kazdom prekliknuti mal zadavat nejaky pin? Co ak si chces copypastnut udaje povedzme z mailu alebo sms?
Odpovedať Známka: 10.0 Hodnotiť:
 

maju to tak viacere aplikacie nie len SLSP
Odpovedať Známka: 10.0 Hodnotiť:
 

Ako sa da ukradnut prostredky cez appku co iba dovoluje pozerat obraty? To co je za chuj nadpis? co je toto cas.sk alebo kde sme.
Odpovedať Známka: -7.9 Hodnotiť:
 

ale ba, do 15 minut od pôvodného prihlasenia si mozes robit co chces ;) takze treba si strazit telefon ;) toto je iba uzivatelsky interface..urcite by sa to dalo poriesit/zneuzit kodom..


Odpovedať Známka: 10.0 Hodnotiť:
 

kapor je vazne kruto husty hacker .. este je opatrny a nezelal si byt menovany.
Odpovedať Známka: -3.3 Hodnotiť:
 

a kde mas napisane ze je to hacker ? Ci si si len potreboval rypnut ?
Odpovedať Známka: 8.6 Hodnotiť:
 

jj je to rypadlo ;) robi si iba srande ;)
Odpovedať Známka: -6.0 Hodnotiť:
 

To je tak keď ľudia nepoužívajú čistenie ramky po ukončení aplikácií. Keď skončím automaticky dám vyčistiť ramku od predtým spustených aplikácií. Pri takomto ukončení uvedený postup nefunguje. Takisto keď sa mi uspí telefón, tak automaticky vyčistí ramku. Takže našťastie sa ma to netýka. :-)

Odpovedať Známka: -8.3 Hodnotiť:
 

ja si cistim ranku jodovou tinkturou a tiez to funguje.
Odpovedať Známka: 9.0 Hodnotiť:
 

Ja pouzivam normalny OS :)
Odpovedať Známka: -3.8 Hodnotiť:
 

ja nemám internet banking
Odpovedať Známka: 8.3 Hodnotiť:
 

ja nemam ucet v banke
Odpovedať Známka: 10.0 Hodnotiť:
 

ja nemám peniaze
Odpovedať Známka: 9.3 Hodnotiť:
 

Vyhral si. Ukoncujem toto vlakno.
Odpovedať Známka: 8.1 Hodnotiť:
 

to musi byt super OS ked sa este musim po kazdom spusteni jebat este s RAMkou...hmm zeby Android? :D
Odpovedať Známka: -5.0 Hodnotiť:
 

si predstav, ze RAMka je prsnata 17nastka a bude to prijemnejsie :-)
Odpovedať Známka: 7.3 Hodnotiť:
 

17? ty máš koľko? 18?
Odpovedať Známka: 0.0 Hodnotiť:
 

Posielame kaprovi z vane kvety! :)
Odpovedať Známka: 4.3 Hodnotiť:
 

Boha tak to je teda chyba ako sviňa. A keď ti niekto ukradne kreditku tak hocikde na internete s ňou môže zaplatiť. Xyz hlavne starších ludí nosia v peňaženke dokonca aj napísaný PIN od karty. A tu sa rieši takáto kktina, keď ste si týmito aplikáciami urobili zo smartfonu peňaženku, tak si naň aj treba patričným spôsobom dávať pozor, takisto ako na peňaženku. Mňa tieto neustále zadávania kadejakých kódov atd. iba obťažujú, našťastie na VUB IB stačí iba jeden krát si nechať poslať kód cez SMS, a už potom to nevyžaduje dokonca ani pri platbe žiadne bezpečnostné autentifikácie. Takto mi to vyhovuje.


Odpovedať Známka: 1.7 Hodnotiť:
 

Aj nám to takto vyhovuje.

-Vaši hackeri
Odpovedať Známka: 7.1 Hodnotiť:
 

zas silny titulok a prd...
vezmime si realne:
1. museli by mi ukradnut telefon hned po tom ako som bol prihlaseny do aplikacie pretoze aplikacia ma timeout pre prihlasenie
2. musel by som mat jeden z dvoch kaporovych telefonov na ktorych to odskusal ...
3. pachatel ktory mi ukradol fon by musel byt nadmieru inteligentny aby si este pozeral moje aplikacie a skusal ci nahodou nie som niekde prihlaseny...
Odpovedať Známka: 4.7 Hodnotiť:
 

ale teoreticka moznost tam je. A tiez sa to da tusim aj pri dalsich 2 slovenskych appkach pisal som otom v skole DP
Odpovedať Známka: 5.4 Hodnotiť:
 

Konkretne aplikacia BankAir od Unicredit sa da minimalizovat ale odhlasi vas az po 3 minutach necinnosti ! A v aplikacii tiez nevyzaduje AUTORIZACIU platby. Teda ak stacim tlacidlo "domov" aka sa nevypne ale caka na navrat 3 minuty, ak v tomto 180 sekundovam intervale stratim telefon ktory nebude mat ani ziadny PIN na odomknutie displeja alebo nejaky vzor a kapor ho nájde v tomto 180 sekundovom intervale a tel stale bude pripojeni na mobilny internet alebo wifi, tak sa kapor môze vratit do aplikacie a spokojne si poslat nejaky gros na svoj alebo svagrov ucet (kedze ucet je lahko vypatratelny).
Dufam ze zajtra tu bude clanok o Unicredit a uzivatelovy z prezivkou "chuj".
Dakujem za aplaus :)
Odpovedať Známka: 5.0 Hodnotiť:
 

Jooooj ze inteligent ;) tu sa riesi ze Appka ma zabezpecenie ktore nefunguje ;) taze kapor posle gros max tebe.. Mozno budes aj pri citani rozmyslat nad textom ;)
Odpovedať Známka: 3.3 Hodnotiť:
 

Timeout pre platby.. Urcitym ludom staci info kde si co platil a info k uctom ;) ..za druhe je tu spomenute iba interface.. Ci sa da zneuzit kodom zisti ty ;) ..a by si neveril kolko ludi sa rado hrabe vo veciach inych ;) a hrabani v uctoch inych ze mlask ;) Vasa Spolocnost..
Odpovedať Známka: 6.0 Hodnotiť:
 

Posielam kaprovi sodu bikarbónu
Odpovedať Známka: 10.0 Hodnotiť:
 

Dakujem za bublinkovy kupel ;)
Odpovedať Známka: 7.5 Hodnotiť:
 

Hmm to je tak ked sa banka pre seniorov a rodiny so zahradnymi domcekami na stromoch pustaju do modernych technologii. Skusal som to na apke z TAtra Banky a samozrejme ze nic take sa nestalo. :D fakt amaterizmus slovenskej na plnej ciare, a ich IT oddelenie si zasluzi vyhadzov od A po Z. Odporucal by som slovenskej ostat pri tych terminovanych uctoch. Zjavne nic zlozitejsie nezvladaju
Odpovedať Známka: -4.0 Hodnotiť:
 

Takze podla tohto clanku je bezpecnostna chyba to, ze existuje nejaky spodob, ako sa prihlasit bez PIN-u (v ramci 15 min)? Potom co appky ostatnych bank, pri ktorych sa nepouziva ziaden PIN?
Odpovedať Známka: 10.0 Hodnotiť:
 

take appky su v pohode, nieje v pohode to ak taka aplikacia pri posielani penazi nepyta ziadne dalsie overenie (bud SMS alebo zadat PIN)
Odpovedať Známka: 3.3 Hodnotiť:
 

PIN ti umoznuje len prezerat ucty, obraty. Pltabu nevykonas bez dalsieho podpisu (GRID, SMS, ...)
Odpovedať Známka: 10.0 Hodnotiť:
 

Stale je podstata ze appka ma planovanu funkcnost zabezpecenie PINom, ale ten nefunguje. A kfe je problem ked je podpisanie operacie pomocou SMS? ..v skratke islo iba o upozornenie na chybu ;)
Odpovedať Hodnotiť:
 

Problém je v tom, že tá SMS príde na smartfón na ktorom ti beží tá appka.
Odpovedať Známka: 10.0 Hodnotiť:
 

Proti "ukradnutiu prostriedkov" nema bojovat applikacia, ale clovek, ktory ju vyuziva. Pokial pred dovolenkou nezamknem dom a aj okna necham otvorene, nemozem sa cudovat, ze ma vykradnu pocas dovolenky. A tiez by ma nenapadol zaloval stavebnu firmu, ktora postavila moj dom, ze to postavili nezabezpecene...
Odpovedať Známka: 6.0 Hodnotiť:
 

Spravne to je ako sa spoliehat na zamok ktory sa da otvorit bez kluca ;)
Odpovedať Známka: 5.0 Hodnotiť:
 

problem je, ze slovenske sudy su v takychto pripadoch na strane klientov banky. teda ze banka sa ma starat o bezpecnost penazi klienta aj ked je klient idiot, ktory je schopny vyplnit napr. komplet gridkartu do phishingoveho formulara alebo klikat na linky z nevyziadanych mailov. ze ma potom klient haved vo svojom pocitaci a aj v handroidovom mobile, ktora odpocuva autorizacne prvky vratane sms, aj to musi strazit banka a preventivne klienta blokovat. klienti sa potom stazuju na komplikacie ale svoj podiel viny uznat nechcu.
Odpovedať Známka: 10.0 Hodnotiť:
 

mam androrid appku "ucty" nainstalovanu na blackberry a tam ked stlacim spat tak sa aplikacia zatvori
Odpovedať Známka: 5.0 Hodnotiť:
 

Mne to funguje tiez spravne, asi to zavisi aj od mobilu a mozno aj od verzie OS.
Odpovedať Známka: 10.0 Hodnotiť:
 

opravene.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ja som si to minule vsimol na manzelkynom nexuse 7.
Tak som si pozeral obraty :-) uz si nepametam ze ci sa dalo skocit do platieb.
A kedze som si vsimol ze po stlaceni spat som sa dostal asi cez dve uz spustene aplikacie az k uctom, tak som to chcel vyskusat znovu, ale uz to neslo, pytalo PIN.
Nenapadlo ma ze to moze byt chyba apky. A mozno ani nieje, mozno novsi OS robi nieco trosku inak ako ked to testovali na starsom OS.
Odpovedať Hodnotiť:
 

ono to bola velmo stara chyba ;)
Odpovedať Hodnotiť:
 

1. Vstupit do aplikacie Platby
2. +
3. Skenovanie platby
4. Stlacit Home na minimalizovanie aplikacie
5. Vratit sa do Platieb cez minimalizovane aplikacie
6. Aplikacia je v rovnakom stave ako predtym aj ked by mala znova vyziadat PIN

Xperia Z
Odpovedať Hodnotiť:
 

jj to zabezpecenie im moc nevyslo ;) skoda..
Odpovedať Hodnotiť:
 

doplnim ze tento problem je skor problem androidu ako pri fotoaparate a pristupe k foto cez zablokovanu obrazovku...
Odpovedať Hodnotiť:

Pridať komentár