33C3: Alvorlige sikkerhetsmangler ved bankens oppstart N26 avdekket

nummer 26

(Bilde: AP, Number26 / Handout)

Sikkerheten forsker Vincent Haupert har vært i stand til å fullstendig velte systemet for beskyttelse av elektroniske banktjenester app av Berlin Fintechs N26. Selskapet har nå reagert, men saken reiser spørsmål.

En drøm for kriminelle, Erlanger sikkerhetsekspert Vincent Haupert på tirsdag den 33. Chaos Communication Congress (33C3) presentert i Hamburg: ganske enkelt gjeldende hacker triks han kunne ta en løpetur på Berlin Oppstart N26 bankkonto fra en mobil enhet, utføre overføringer og direkte ta -Kreditrahmen i en mengde på 2.000 euro å fullføre. Det oppnås dette ved svakheter i autentisering av brukere og i selve mitteilsfreudigen programmering. N26 undersøkt riste opp finanssektoren, har vunnet 200.000 kunder i løpet av ett år og få tak i en full banklisens.

Ved første øyekast kan det beskyttende armering for mobil så fast stoff. For å få tilgang til en konto og gjøre transaksjoner, passord i tillegg til bruker-ID i form av en e-postadresse og et firesifret overføring kode for å skrive inn en PIN-kode er nødvendig. Videre trenger du en mobil enhet som er tilknyttet kontoen. For å etablere denne forbindelsen som sender "FinTech" en såkalt tokens via SMS som et flagg.

utsatt for "Mannen i USA"-attack

Ved relativt enkle midler lyktes Haupert å velte sikkerhetssystemet til Berlin Fintech startups N26. Ved relativt enkle midler lyktes Haupert å velte sikkerhetssystemet til Berlin Fintech startups N26.

Apps for iOS og Android I følge bevist Haupert men sårbar for en "Mannen i USA"Attack. For dette, må man klienten ikke røre ved den, fordi i kryptering av data som utveksles via Javascript Object Notation (JSON) over HTTPS det tilknyttede sertifikatet ikke hadde blitt integrert riktig. Dermed har det blitt mulig å sjekke at fra N26 brukes Application Programming Interface (API) nesten i sanntid, og også gjøre de første overføringene.

Tilgang til en utenlandsk konto var i stand til å akselerere vesentlig over funksjonen for tilbakestilling av passord via e-post og en målrettet phishing-angrep, sa Haupert. Her er det faktum at en bruker kan laste ned alle sine kontakter med e-post og telefonnumre på N26, og selskapet hadde lagret ukryptert i backend system hjelp. Han og hans team har så prøvde 68000000 innloggingsinformasjon fra Dropbox Hack på N26 API, og identifisert ca 33 000 kunder av firmaet. Det ville ha vært mulig å skrive alle disse brukerne med en advarsel og måter å stjele dem via en skadelig kobling sine passord. fra "Av juridiske grunner" de hadde ikke fulgt denne tilnærmingen.

Usignerte transaksjoner gjennom Siri

En gang i besittelse av tilgangskoder, kan en angriper, ifølge ekspertene direkte gjennomføre transaksjoner 10 gjennom Apples stemmeassistent Siri i iOS. Dette hadde ikke blitt signert. For dette trenger du ikke engang trenger en tilkoblet konto med iPhone. På denne måten sikkerheten testeren hadde utført 200 overføringer av små mengder uten angivelig uregelmessig handlinger detektiv N26 algoritme har slått alarm. Det tok tre uker med de stridende hadde blitt kontaktet, men ikke fordi han lanserte transaksjonene, men har fått liten sum. Det har derfor handlet på akkurat feil person.

Å foreta overføringer uten Siri, hjalp hackere igjen programmeringsgrensesnittet. De utvekslede inneholdt også den ekstra nødvendig identifikasjon på et MasterCard kredittkort som hører til kontoen, og sette nye overføringskode kan bekreftes. En firesifret ekstra sikkerhets tokens har litt over en "brute force"-attack bli bestemt i løpet av få minutter, Haupert ført og i en etterfølgende prøve selv før. Beskyttelse mot automatiserte gjentatt prøve ut kombinasjoner av tall ikke eksisterer. Til syvende og sist er også fødselsdato fra kontoinnehaveren, som spørres mot hotline Consultants AS tilleggsinformasjon, i sin tur, er blitt lest ut via API-en.

lukkede svakheter nå

Oppfinneren har rapportert de alvorlige sikkerhetsmangler ved sin egen konto 25. september på Chaos Computer Club (CCC) til N26. Vedkommende ansatte var takket for informasjonen og lukket det siste han oppdaget feilen den 13. desember.

Generelt Haupert ser på prøve i sin oppnådd ved å bruke andre banktjenester apps syn bekreftet at de to-faktor autentisering vil absurditet med dagens mobile praksis. FinTechs nå ødelagt og de resterende tillit i finanssektoren, har bankene bygget opp over flere tiår. De økte også presset på tradisjonelle hus for å bringe alltid lett å bruke apps på markedet som ikke kunne holde seg generelt når det gjelder sikkerhet. Den banktilsyn BaFin han kritisert for ikke å gi tilsynelatende uten pålitelig testing lisenser.

N26 annonsert kort tid før forelesningen, "gjøre mer for sin IT-sikkerhet" å ønske. De har derfor sin egen "bug Bounty"Programmet startet og laste det opp "Hacker talenter over hele verden"Finne ut potensielle sikkerhetsproblemer og å rapportere til Berlin. Secure Mobile Banking og optimal funksjonalitet av programmet ville eie selskapet "høyeste prioritet",(Stefan Krempl) /(AKR)