Category Archives: zoeken

CERTIFICATEN ZIJN NIET GENOEG VOOR MOBIEL BANKIEREN

Studenten vonden een veiligheidslek in de mobiele betalingsapp van de ABN AMRO. Het bleek dat tijdens het authenticatieproces de app alleen controleerde of er een geldig SSL-certificaat aanwezig was bij de ontvangende server. Het domeinnaam waarvoor het certificaat was uitgegeven werd niet gecontroleerd.

Als gevolg van deze opzet kon een ieder met zo’n certificaat zich voordoen als server van de ABN AMRO-bank en pincodes en rekeninggegevens van derden onderscheppen en decoderen en rekeningnummers en bedragen in transacties wijzigen. De externe server kon zich derhalve als “man in the middle” tussen de app en de bankserver gedragen.

Voor klanten was het niet te zien dat de app met een verkeerde server contact maakt. De transactie wordt zonder tussenkomst van de klant afgehandeld waardoor een controle van het SSL-certificaat zoals in de browser niet mogelijk is.

Het lek is inmiddels goeddeels verholpen.