Na bezpečnostní konferenci CCC výzkumníci odhalili, proč není on-line bankovnictví na smartphonu stoprocentně bezpečné.
Již několik měsíců je známo, že více než třicet populárních zahraničních bankovních aplikací pro smartphony obsahuje bezpečnostní mezery, které nezaručují uživatelům stoprocentní ochranu. Na 34. hackerském kongresu klubu Chaos Computer Clubs (CCC) popsal bezpečnostní analytik Vincent Haupert podrobnosti o tom, jak se mu podařilo na mezery přijít. Podle Hauperta používají tyto aplikace bezpečnostní řešení nazvané Shield norské společnosti Promon.
Dle prohlášení této firmy přitom jde o »kompaktní a vysoce bezpečný doplněk pro poskytovatele aplikací a cloudových služeb, jehož cílem je efektivně zabezpečit interní aplikaci proti útokům trojských koňů a spywaru«. Nicméně na konferenci Haupert demonstroval, že to není tak docela pravda. Důvod: Metoda mTAN se často používá pro počítačové on-line bankovnictví. Uživatel obdrží TAN (Transaction Authentication Number) jako jednorázové heslo prostřednictvím SMS, které zadá do prohlížeče. Pro ověření se tedy využijí dvě různá zařízení. Tato metoda se nazývá dvoufázová autentizace a je poměrně bezpečná. To však neplatí v případě, kdy uživatel používá pouze jedno zařízení pro transakci i pro její ověření pomocí TAN.
Haupert a jeho kolega Nicolas Schneider vyvinuli aplikaci Nomorp pro útok na tento systém a podle svých tvrzení pomocí ní mohou »zcela deaktivovat zavedené bezpečnostní opatření v 31 finančních aplikacích používaných po celém světě a v některých případech je úplně otočit«. Aplikace Nomorp pak tajně nahradí legitimní bankovní aplikaci zmanipulovanou verzí, pomocí které je možné transakce upravit. Předpokládají, že takovýto útok by fungoval nejen u zařízení pro Android, ale i pro iOS.
Foto popis| Vincent Haupert na svém videu ukázal, jak se mu podařilo zmanipulovat on-line bankovní aplikace a ukrást TAN.