Naar aanleiding van: nieuws: Mobielbankieren-app ING was kwetsbaar voor fraude
Jullie citeren hierbij EenVandaag, welke beweert dat de ING applicatie vatbaar zou zijn voor een man-in-the-middle attack. Ik stel op basis van eigen onderzoek dat dit hoogstwaarschijnlijk klinkklare onzin is.
Kort samengevat maakt de ING app gebruik van SSL voor het beveiligen van de verbinding naar ING, en zou de kwetsbaarheid zijn dat ieder ondertekend certificaat geaccepteerd werd - een aanvaller zou dus het verkeer kunnen onderscheppen of een man-in-the-middle-attack kunnen uitvoeren, en hiermee 'bedragen en rekeningnummers veranderen'.
Wat EenVandaag echter niet meldt is dat er op applicatieniveau ook nog gebruik gemaakt wordt van verscheidene cryptografische primitieven. Voor zover mij bekend1 zijn de berichten op applicatieniveau symmetrisch versleuteld, waarbij de key enkel wordt verstrekt na een succesvolle authenticatie.
En het is juist de authenticatiestap (door middel van SRP) die het onmogelijk maakt om een MITM uit te voeren tijdens de authenticatie. Zonder authenticatie geen (symmetrische) session key, en dus is er geen mogelijkheid om een MITM uit te voeren of anderszins verkeer te onderscheppen2.
[1] Applicatieverkeer tijdens authenticatie en het ophalen van transacties; verdere functionaliteit is niet onderzocht.
[2] Onder de voorwaarde dat SRP (en overige cryptografische primitieven) juist gebruikt zijn.
Jullie citeren hierbij EenVandaag, welke beweert dat de ING applicatie vatbaar zou zijn voor een man-in-the-middle attack. Ik stel op basis van eigen onderzoek dat dit hoogstwaarschijnlijk klinkklare onzin is.
Kort samengevat maakt de ING app gebruik van SSL voor het beveiligen van de verbinding naar ING, en zou de kwetsbaarheid zijn dat ieder ondertekend certificaat geaccepteerd werd - een aanvaller zou dus het verkeer kunnen onderscheppen of een man-in-the-middle-attack kunnen uitvoeren, en hiermee 'bedragen en rekeningnummers veranderen'.
Wat EenVandaag echter niet meldt is dat er op applicatieniveau ook nog gebruik gemaakt wordt van verscheidene cryptografische primitieven. Voor zover mij bekend1 zijn de berichten op applicatieniveau symmetrisch versleuteld, waarbij de key enkel wordt verstrekt na een succesvolle authenticatie.
En het is juist de authenticatiestap (door middel van SRP) die het onmogelijk maakt om een MITM uit te voeren tijdens de authenticatie. Zonder authenticatie geen (symmetrische) session key, en dus is er geen mogelijkheid om een MITM uit te voeren of anderszins verkeer te onderscheppen2.
[1] Applicatieverkeer tijdens authenticatie en het ophalen van transacties; verdere functionaliteit is niet onderzocht.
[2] Onder de voorwaarde dat SRP (en overige cryptografische primitieven) juist gebruikt zijn.
/u/269377/arnoud8bit.png?f=community)
:strip_exif()/u/38491/klus.gif?f=community)
Dit topic is gesloten.