Citat:
Ursprungligen postat av
Falafeln
.
Nej. Jag menar att angriparen skapar & skickar en egen transaktion med samma belopp, men med annat kontonummer.
Precis när du skickar din transaktion, så hinner angriparen "före" med sin transaktion.
BankID-appen kommer då poppa upp och be om signering. Kollar du då inte att kontonumret är samma som du faktiskt gjorde överföringen till så kan det bli lurigt.
Extra lurigt är det om angriparen betalar en faktura hos samma bolag som dig, Eftersom OCR-numret nästan aldrig kontrolleras eller ens kommer med i signaturen så blir angriparens faktura registrerad som betald när du godkänner signaturen på "din" fakturabetalning.
Alla ovanstående attackmetoder kräver endast någon form av visuell kontakt med offrets skärm. Exempelvis ett café, fjärrstyrningstrojan som visar skärmen, eller liknande. Att manipulera nätverkstrafik är inte alltid nödvändligt. en-sessionsspärrar gäller oftast heller inte över flera plattformar, så om t.ex. internetbanken endast tillåter en session åt gången så kan du oftast ha 2 sessioner igång, en i mobilappen och en i internetbanken.
Bristen har funnits sedan Mobilt BankID skapades.
Bristen/attacken kallas ofta "Race for the last key", och beskrivs på denna sida:
https://en.wikipedia.org/wiki/OTPW
Alla autensiteringssystem som baserar sig på att förlitande part "initerar" autensiteringen har samma brist. Skall det vara säkert skall autensiterande part initera autensiteringen, SAMT att det skall finnas unik data per session, som är hårt kopplat mot autensiteringen (dvs inte out of band).
Så en trojan behöver inte stjäla hela BankIDt. Trojanen kan istället t.ex. utfärda ett eget BankID på det sätt som jag beskrivit.