Bij een opdracht voor het vak `Security of Systems and Network' toonden de studenten aan dat een zogehete man-in-the-middle attack, een aanval waarbij informatie tussen twee communicerende partijen ongemerkt onderschept wordt, mogelijk was.
Onderscheppen pincode
Het bleek mogelijk om de pincode en rekeninggegevens te onderscheppen en te decoderen. De studenten konden zelfs rekeningnummers en bedragen in transacties wijzigen.
ABN AMRO is in een responsible disclosure —procedure, een gebruikelijke verantwoorde wijze bij informatiesystemen en software producten, op de hoogte gebracht. In een demonstratie bij de UvA toonden de studenten de bank het beveiligingsprobleem en mogelijke oplossingen.
De bank heeft een aangepaste versie van de app gemaakt. De studenten zijn bij de ABN AMRO uitgenodigd om deze versie te testen. Een verbeterde versie van de app is in de Google app store beschikbaar sinds 17 december 2012. Het is lovenswaardig dat het slechts enkele dagen duurde voordat de 760.000 gebruikers hierover konden beschikken.
Klanten die nog niet de verbeterde versie gebruiken zijn nog steeds kwetsbaar. Deze gebruikers zijn zich daar mogelijk niet van bewust. In de begeleidende tekst bij de app-update staat alleen: "Dit is een security update die Mobiel Bankieren nog veiliger maakt".
woensdag, 13. februari 2013 - 14:49 Update: 08-07-2014 0:30
UvA SNE-studenten ontdekken veiligheidslek mobiel bankieren
Amsterdam
Master studenten System and Network Engineering (SNE) van de Universiteit van Amsterdam (UvA) hebben een serieus beveilingsprobleem ontdekt in de app `Mobiel bankieren' van de ABN AMRO voor Android. Dit meldt de UvA woensdag.
Categorie:
Tag(s):