Norske nettbank-apper sårbare for hacker-angrep

Bankene tar selvkritikk etter å ha blitt gjort oppmerksomme på sikkerhetshull.

SKREMT: Sikkerhetseksperten Einar Otto Stangvik brukte ikke lang tid på å finne flere hull i en rekke norske apper. Foto: OLE PETTER BAUGERØD STOKKE/DINSIDE.NO
SKREMT: Sikkerhetseksperten Einar Otto Stangvik brukte ikke lang tid på å finne flere hull i en rekke norske apper. Foto: OLE PETTER BAUGERØD STOKKE/DINSIDE.NOVis mer
Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

- Jeg tror vi er litt naive, sier Einar Otto Stangvik til DinSide.

Han ble i sommer kjent som «super-hacker» gjennom VG, etter å ha avslørt en Høyre-politikers spredning av nakenbilder, stjålet fra intetanende kvinner. Til daglig jobber han som sikkerhetsekspert i sitt eget enmannsselskap Indev.

Nå har Stangvik gått gjennom en rekke av de mest brukte norske appene, og kan til DinSide avsløre det han ser på som store svakheter i mange av dem.

- Det var på høy tid noen sjekket dette, mener Stangvik.

Angrep #1: Falskt innhold DinSide møter ham på kafeen Laundromat i Oslo. Stangvik logger seg på kafeens nettverk på mobilen, slik alle gjestene kan med passordet som deles, og gjør det samme med PC-en. Hundrevis av tekstlinjer farer over skjermen hans.

Målet er først å lure mobilen til å tro at PC-en er den trådløse ruteren, så all kommunikasjon mellom mobilen og internett foregår via Stangvik. Han får da kontroll over hva serverne og appene sier til hverandre.

Dette kalles et «man-in-the-middle»-angrep, da noen befinner seg mellom deg og nettet uten at du vet om det. På denne måten kan hackeren både lese av og endre data som går mellom nettet og mobilen.

Og det er nettopp slike angrep Stangvik mener de norske appene er sårbare for.

Han viser oss første eksempel: DNBs nettbank-app henter ned data fra DNBs servere for å vise diverse info i bokser øverst i appen. Men når både mobilen og serverne har blitt lurt til å snakke med hverandre via Stangviks PC, i stedet for direkte med hverandre, kan han endre boksene som han vil.

Han trenger bare å stanse innholdet serveren forsøker å sende appen, og bytte dette ut med sitt eget. «Du har vunnet! Klikk her for å se mer» står det plutselig i DNBs egen app i Stangviks hånd. Boksen er falsk, og lenken sender brukeren til Stangviks egen nettside.

DNB, Nordea og SpareBank1 - Når folk går på phishing-e-poster skrevet på dårlig norsk, tenk hvor lurt de blir av dette. Mange vil tenke «Om nettbank-appen sier jeg har vunnet, så har jeg vel det!», mener Stangvik.

"MANN I MIDTEN": Når hackeren befinner seg mellom appen og serverne appen bruker, kan han både lese av og sende data til den. Illustrasjon: OLE PETTER BAUGERØD STOKKE/DINSIDE.NO
"MANN I MIDTEN": Når hackeren befinner seg mellom appen og serverne appen bruker, kan han både lese av og sende data til den. Illustrasjon: OLE PETTER BAUGERØD STOKKE/DINSIDE.NO Vis mer

Det falske innholdet kan brukes for å svindle til seg folks sensitive informasjon, for eksempel for å svindle til seg pengene dine. Og i noen tilfeller kan det falske innholdet sprøyte ondsinnet programvare inn på mobilen din, så angrepene kan spre seg.

Han viser oss det samme type angrepet også på Nordea sin Android-app, og en video av et angrep på SpareBank 1 sin iPhone-app.

Angrep #2: Lese sensitiv informasjon Stangvik tar en slurk kaffe og skriver nye linjer på PC-en sin. Han har enda mer på lager.

DNB-appen sender informasjon om deg mellom mobilen din og DNBs servere. Ettersom Stangviks PC befinner seg mellom disse, kan han lese av dataen. På skjermen ruller derfor saldoen, de ti siste transaksjonene og bruker-ID-en til bankkontoen (ikke kontonummeret) over skjermen hans når han åpner appen på mobilen.

Stangvik åpner den mye omtalte appen til NSB for å vise det samme. Her får han raskt ut både brukernavn, passord og eventuell betalingsinformasjon brukeren legger inn. Det samme har han fått til i enda en populær, norsk reiseapp. Selv om informasjonen kan være kryptert, trenger det ifølge Stangvik ikke å være noe problem å bruke den.

Skremt av begge to De norske appene han har sjekket er altså sårbare for to type angrep: Falsk informasjon inn i appene, og informasjon som lekker ut av appene.

- Jeg synes begge er like skremmende, sier Stangvik, som forteller han bare brukte tre dager på å finne alle hullene.

- Det er uhyre lite komplisert, alt du trenger finner du gratis på nettet. Jeg er overrasket over at ingen har gjort dette allerede.

Mange av hullene gjelder både på Android og iPhone, selv om noen mener det ene er sikrere enn det andre. Og hackeren trenger ikke være fysisk tilstede, men utnytte hullene via andres utstyr.

Det appene gjør feil, ifølge Stangvik, er å ikke sjekke at serveren appen snakker med faktisk tilhører appen. Det er derfor Stangvik kan late som om PC-en hans er for eksempel DNBs server, og lese og endre det som sendes, selv når informasjonen er kryptert.

- Utviklerne har vært naive, mener Stangvik.

«Burde oppdaget selv» Stangvik har advart alle involverte om hullene. Mange av appene er derfor nå oppdaterte for å rette disse feilene, deriblant DNB sin. DNB-appen Stangvik brukte under vår demonstrasjon var rundt én uke gammel, så fortsatt er det trolig mange som har de usikre appene på sine mobiler.

FALSKT:  Boksen med pengesekken øverst i DNB-appen er falsk, laget av Stangvik og sprøytet inn i appen. Foto: OLE PETTER BAUGERØD STOKKE/DINSIDE.NO
FALSKT: Boksen med pengesekken øverst i DNB-appen er falsk, laget av Stangvik og sprøytet inn i appen. Foto: OLE PETTER BAUGERØD STOKKE/DINSIDE.NO Vis mer

«Vi burde naturligvis ha oppdaget dette selv, og derfor har vi nå gått gjennom våre rutiner for testing av denne typen IT-løsninger, slik at vi sikrer oss best mulig mot slike feil i fremtiden» skriver informasjonsdirektør Even Westerveld i DNB til DinSide, som understreker at de ikke har sett noe misbruk av hullet.

Også SpareBank 1 har oppdatert appen sin, selv om de ikke har sett noe misbruk.

«Feilen skyldes en kvalitetssvikt hos oss da vi åpnet for bruk av annonse-bannere inne i selve appen. Svakheten har ikke vært knyttet til mobilbanken som kunden har tilgang til via appen» skriver kommunikasjonsdirektør Christian Brosstad i SpareBank 1 til DinSide.

Ingen kommentar fra NSB Nordea lover også bot og bedring.

«Men vi har ikke så langt identifisert at Android-appen vår utnyttes til denne typen angrep. Vi følger opp dette fortløpende i vår mobilutvikling» skriver kommunikasjonssjef Unni Strømstad i Nordea til DinSide.

Mens NSB er tause.

«Som du sikkert har forståelse for, ønsker vi ikke å kommentere hvilke sikkerhetsopplegg vi har i appen vår, og kan derfor ikke gi noe mer informasjon om dette» skriver kommunikasjonsrådgiver Erik Lødding i NSB til DinSide.

Alle de tre bankene takker Stangvik for at han gjorde dem oppmerksom på svakhetene. Han skal også ha funnet liknende hull i flere andre norske apper, som han ikke har rukket å snakke med ennå. DinSide har dessuten utelatt navn på apper fra selskaper vi ikke har fått kommentarer fra ennå.

Som alltid er det viktig at du oppdaterer appene dine, som nå kan gjøres automatisk på iPhone. Og Stangvik advarer mot å bruke offentlige, trådløse nettverk på alt fra kafeer til arbeidsplassen. Del heller nettet fra mobilen din.

Les også:

LEKKASJE: Dette sier kanskje ikke deg stort, men for en hacker kan slik informasjon for eksempel bety passordene dine, hentet fra appene dine. Foto: OLE PETTER BAUGERØD STOKKE/DINSIDE.NO
LEKKASJE: Dette sier kanskje ikke deg stort, men for en hacker kan slik informasjon for eksempel bety passordene dine, hentet fra appene dine. Foto: OLE PETTER BAUGERØD STOKKE/DINSIDE.NO Vis mer

Mener norske apper bryter loven

Vanlige, norske nettsider sprer virus


Slik sletter du deg selv fra internett

Hvordan oppdaterer jeg Java? Og må jeg egentlig ha det installert?

ORDNER OPP: Kommunikasjonssjef Unni Strømstad i Nordea lover at appen blir sikrere. Foto: NORDEA
ORDNER OPP: Kommunikasjonssjef Unni Strømstad i Nordea lover at appen blir sikrere. Foto: NORDEA Vis mer