Duitse bankapps op Android 7.0 of ouder zijn niet veilig

De tijd dat we naar een bankkantoor moesten gaan om een transactie uit te voeren, dateert ondertussen uit een ander tijdperk. Mobiel bankieren wordt steeds populairder, waardoor onderzoekers de mobiele apps steeds veiliger trachten te maken. De Duitse beveiligingsonderzoeker Vincent Haupert vond een beveiligingslek in de Promon-technologie, een beveiligingslaagje die door vele Duitse banken wordt gebruikt om hun apps te beveiligen. Hij gaf een demonstratie op de Chaos Computer-conferentie.

In de demonstratie slaagde hij erin om over te boeken bedragen aan te passen. Daarvoor moest het slachtoffer wel een toestel hebben waarop Android 7.0 of ouder draait, omdat die nog niet gepatcht is tegen het zogenaamde dirtycow-lek. Zonder dit is het niet mogelijk om commando’s met root uit te voeren. Daarna is het voor een (al dan niet kwaadwillige) hacker een peulenschil om in te breken. Aan de hand van een virus (die je bijvoorbeeld via de Play Store binnenhaalt) wordt het beschermingssausje op de bankapp verwijderd. Daarna krijgt de hacker vrij spel om de bedragen in transacties te manipuleren.

Tweestapsverificatie

De onderzoeker noemt zijn project ‘Nomorp’, oftewel ‘Promon’ maar dan omgekeerd geschreven. Deze dienst biedt bescherming aan apps, zelfs op toestellen die door malware zijn geïnfecteerd. De beveiliging bleek minder secuur dan verwacht, zo toonde Vincent Haupert. Hij onderstreept het belang van een grondige tweestapsverificatie. Steeds meer banken maken gebruik van een TAN-code (zoals ING), waarbij een eenmalig wachtwoord moet worden ingevoerd bij een transactie. Volgens Haupert is deze beveiligingslaag niet veilig genoeg.

De Duitse onderzoeker nam ondertussen al contact op met Promon. Het bedrijf voerde al wijzigingen door, maar Haupert heeft nog niet kunnen controleren of deze voldoende blijken te zijn. Welke Duitse banken gebruikmaken van de Promon-dienst, is niet duidelijk. Er zijn geen gevallen gesignaleerd van misbruik.