Expressen: Trojan tar bankid ur dator och skickar det vidare

Hurdå menar du? Android är ju en helt sanboxad miljö till skillnad från en PC. Certifikatet för BankID ligger i en mapp som bara är läsbar för den användare som BankID-processen körs som.

Så om man inte har rootat telefonen så borde BankID på mobilen vara svårt att sno med malware.

Att du själv inte har rootat telefonen behöver ju inte betyda att en trojan inte skulle kunna använda svagheter i android för att ge sig själv privilegier att kopiera filer ur lässkyddade mappar.

Ännu mindre säkert är det att använda tvåfaktor identifikation som bygger på ett certifikat över öppna wifi-nät eller där nyckeln är känd av flera. Då är det i princip bara att använda en laptop som repeater och logga allas bank-id eller e-leg som far genom luften.

Nu är det ju såklart dåligt att skicka den typen av information över öppna nät, men trafiken är ju fortfarande krypterad. Jag kan inte rakt upp och ner sätta mig på ett café, fånga upp någons meddelande som "far genom luften" och sen börja köpa saker. Autentisering via BankID är betydligt mer sofistikerad än okrypterad trafik som flyger runt på nätverket utan ytterligare autentiseringsmetoder. Med det sagt är BankID inte, som ingenting är, "säkert", och exempelvis öppna nätverk tillåter folk att lyssna på din trafik vilket öppnar för utnyttjande av svagheter i de säkerhetsprotokoll som används.

Det finns många program som inte listar Linux under systemkrav, men som fortfarande går att köra få igång på Linux. Hur det är med BankID idag vet jag inte, men om det inte finns någon som fått det att fungera så beror det snarare på tidsbrist eller brist på motivation, inte att det inte finns något native stöd för Linux.

Fribid slutade funka för snart 3 år sedan.

https://wiki.fribid.se/sidor/BankID-Cava

Skaparna till det har väl bättre saker för sig, men de har åtminstone tittat bakom kulisserna något.

Fast även att använda mobilen som BankID är ju inte helt säkert, eftersom en bedragare kan "trycka in" sin transaktion före. När du godkänner BankIDt i tron om att det är din transaktion så godkänner du i själva verket bedragarnas transaktion.

Och en sådan attack behöver inte ens en trojan för att genomföra. Räcker med ditt personnummer och något litet hum (går att ordna med shoulder surfing på långa avstånd, t.ex. på ett café) om var du är i transaktionsflödet (så man kan skicka transaktionen precis när du ska skicka den).

Enda som vore säkert var att man antingen fick skriva av en kod från skärmen, alternativt scanna en QR-kod eller liknande.

Dubbelkollar man inte vad man signerar? Det står ju summa och mottagare när man ska knappa in pin

Inte alltid det står. Ibland står det bara "Jag signerar mina senaste 4 transaktionsuppdrag gjorda den YYYY-MM-DD" bla bla bla.

Är angriparen fyndig och lyckas få tag på transaktionsbeloppet så kan denne ändra kontonumret i hopp om att använaren inte märker.

Hmm, något sådant har jag aldrig sett!

Då kräver det att angriparen lyckas dekryptera meddelandet, ändra det, och sen kryptera det på nytt med samma nyckel. Svårt, men såklart inte omöjligt Vi får väl också hoppas att BankID-servrarna, som är de som kommer att skicka förfrågan om att godkänna till dig, också kommer att verifiera att detaljerna du godkände är detsamma som detaljerna de bad dig godkänna. Så även om ett paket från deras server fångas upp, modifieras, och sedan skickas vidare till dig för godkännande, så kommer BankID:s server stoppa transaktionen när den ser att kontonumret ändrats.

Nej. Jag menar att angriparen skapar & skickar en egen transaktion med samma belopp, men med annat kontonummer.
Precis när du skickar din transaktion, så hinner angriparen "före" med sin transaktion.

BankID-appen kommer då poppa upp och be om signering. Kollar du då inte att kontonumret är samma som du faktiskt gjorde överföringen till så kan det bli lurigt.

Extra lurigt är det om angriparen betalar en faktura hos samma bolag som dig, Eftersom OCR-numret nästan aldrig kontrolleras eller ens kommer med i signaturen så blir angriparens faktura registrerad som betald när du godkänner signaturen på "din" fakturabetalning.

Alla ovanstående attackmetoder kräver endast någon form av visuell kontakt med offrets skärm. Exempelvis ett café, fjärrstyrningstrojan som visar skärmen, eller liknande. Att manipulera nätverkstrafik är inte alltid nödvändligt. en-sessionsspärrar gäller oftast heller inte över flera plattformar, så om t.ex. internetbanken endast tillåter en session åt gången så kan du oftast ha 2 sessioner igång, en i mobilappen och en i internetbanken.

Bristen har funnits sedan Mobilt BankID skapades.


Bristen/attacken kallas ofta "Race for the last key", och beskrivs på denna sida:
https://en.wikipedia.org/wiki/OTPW


Alla autensiteringssystem som baserar sig på att förlitande part "initerar" autensiteringen har samma brist. Skall det vara säkert skall autensiterande part initera autensiteringen, SAMT att det skall finnas unik data per session, som är hårt kopplat mot autensiteringen (dvs inte out of band).


Så en trojan behöver inte stjäla hela BankIDt. Trojanen kan istället t.ex. utfärda ett eget BankID på det sätt som jag beskrivit.

Tack för en intressant diskussion!