Bankieren app ABN AMRO af te luisteren

Studenten van de Universiteit van Amsterdam (UvA) ontdekten eind vorig jaar dat de Android-app van ABN AMRO kwetsbaar is voor Man-in-the-Middle (MitM) aanvallen.

Het bleek mogelijk te zijn om het verkeer te onderscheppen en hiermee de pincode en rekeninggegevens in handen te krijgen. De onderzoekers konden ook informatie in het verkeer wijzigen, en zo rekeningnummers en bedragen van transacties veranderen.

De studenten hebben het probleem via een responsible disclosure-procedure gemeld aan de bank, waarna op 17 december 2012 al een nieuwe versie van de app in de Google app store werd uitgebracht. Klanten die de upgrade nog niet hebben uitgevoerd blijken nog steeds kwetsbaar te zijn. De ABN AMRO app heeft ongeveer 760.000 gebruikers.

Tijdens het onderzoek bleek dat de software bleek goed te decompileren was, wat analyse eenvoudiger maakte. Ook bleek de app de naam van de server (CN) in het SSL-certificaat niet te controleren bij het opzetten van een verbinding, waardoor een MitM aanval mogelijk was. De gebruikte RSA-encryptie bleek ook te omzeilen. Door de publieke RSA-sleutel tijdens het afluisteren te vervangen door een eigen sleutel, konden de studenten het berichtenverkeer ontcijferen.

De bevindingen van de studenten Thijs Houtenbos, Jurgen Kloosterman, Javy de Koning en Bas Vlaszaty zijn na te lezen in hun rapport van 23 december 2012.

Aanmelden voor onze nieuwsbrief