Säkerhetshål Bank-ID

Fattar du inte att görs autentiseringen på 1 klient så ska inte andra klienter som inte loggat in få tillgång till samma data. Man kan inte skapa en app som gör att andra personer som inte ens loggat in får tillgång till någons data Det är ett gigantiskt säkerhetshål.


Och det är precis därför servern bara ska skicka informationen till den klient som loggat in, inte till resten av Sverige som surfat in på samma sida.

Jaså? Förklara då hur någon annan person kan få tillgång till dina data bara genom att befinna sig på samma sida som du själv är på. Det kan endast göras genom utebliven autentisering.

Det ser ut som om detaljerna du skriver om inte handlar om Bankid, utan andra historiska tekniker i en anonym eller icke namngiven banks system. Kan du bekräfta det? Det finns många läsare här som inte är tekniskt insatta, så det gäller att vara tydlig.

Du känner uppenbarligen inte till att identifieringen med mobilt bankid går via en separat kanal från webb-sessionen som blir inloggad. Skaffa dig baskunskaper om bankid så slipper du göra bort dig så gravt.



Läs mitt första inlägg i tråden så bör du förstå lite bättre efter det. Jag har uppmanat dig att göra det tidigare. Läste du inte eller är du för dum för att förstå?

Är inte orolig eftrersom det tydligen behövs en "rådgivare" i andra ändan av linjen för att Bankinloggningen skall kunna styras på något sätt. Ett säkerhetshål, ja kanske men knappast något som äventyrar banksäkerheten. Men buset försöker alltid så för alla säkerhetsansvariga inom all IT-struktur gäller nog att hela tiden var på alerten. Tyvärr verkar säkerheten också vara en kostnadsfråga så var går smärtgränsen för banker och myndigheter tro.

Om jag går till din banks webbsida och påbörjar en bankidinloggning genom att skriva in ditt personnummer och sedan ber dig att starta bankid-appen och skriva in ditt lösen, då blir jag inloggad som dig och detta trots att vi inte befinner oss på samma plats. Vi kan göra det här och nu, vill du prova?

Detta är inget tekniskt säkerhetshål men som så ofta tidigare kan användare luras att göra saker de inte borde. Vi har tidigare också sett andra exempel på när Telias eleg användes för att logga in på andra personers konton. Upplägget var då helt annorlunda men även då attackerades den mänskliga faktorn och inte den tekniska säkerheten.

Vad menar du med session i detta fall? Hade inloggning och bankid alltid körts på samma system hade jag förstått att det kunde finnas en kontroll över en session av det slag du nog talar om. Men ett scenario för användning av mobilt bankid kan se ut så här:

- Inloggning i webbläsare i Windows
- Mobilt bankid i Android på en surfplatta

eller, och då är det inte heller samma nätverk, förutom att det inte är samma system eller applikation

- Inloggning i webbläsare i Windowsdator på fibernätverk
- Mobilt bankid i Android på mobil med internet över 'mobilt bredband'

[ edit: observera att detta bara är exempel. Det behöver inte vara windows, det behöver inte vara android, det behöver inte vara just mobilt bankid, det behöver inte vara ett viss företags implementation av bankid ]


Jag tror att du har rätt, men att det finns problem med att åstadkomma något sådant. Det kanske inte ens ingår i kravspecifikationerna. Detta med tanke på vad jag skrivit ovan.

Här är ett exempel från tidigare i år på hur en myndighet strular till det och själva skapar ett säkerhetshål vid användningen av bankid.

(FB) Pensionsmyndigheten avslöjar stor säkerhetsbrist i sin implementation av Bankid

Hur styr man "lätt om adressen i kundens egen router"?
På vilket sätt blir det säkrare med engångkod om någon har tillgång till din router?
Med den bank/dosa jag använder så får man en unik challenge per session. På vilket sätt är det mindre säkert än en engångskod?
När jag verifierar överföringar så är det totala beloppet en del av den challenge jag får.
Du får gärna förklara hur detta skulle vara mindre säkert än BankID.

Men ditt aber. Alla requests/response oavsett om det är android, iphone, webb går genom HTTP objektet (om det inte rör sig om videochat som använder TCP). Och hade det varit så att banken använt autentisering hade bara den klient som loggat in kunnat visa informationen, inte alla andra.


Är du för dum för att svara på min fråga? Hur kan någon surfa in på samma sida som du själv loggat in på utan att ha loggat in själv, svara nu på den frågan.

Tack för din länk som beskriver precis det jag säger. Bedragaren behöver ingen kod för att logga in utan det räcker bara att surfa in på användarens sida när användaren är inloggad. Detta är endast möjligt tack vare att bank-ID inte använder autentisering.

http://www.svd.se/pensionsfifflare-u...ingsliv:debatt

Så här har det gått till: telefonförsäljaren ringer och vill tala om premiepensionen, ber pensions*spararen starta sitt mobila e-leg för att titta på innehavet. Innan samtalet har säljaren startat en inloggning hos Pensionsmyndigheten genom att ange pensions*spararens personnummer. När spararen sedan startar sitt *mobila e-leg ligger säljarens inloggning först på kö. Spararen loggar då ovetandes in försäljaren, som kan byta alla fonderna mot andra fonder

Tagga ner och läs mitt inlägg igen sötnos. Jag har inte "kommit till någon slutsats" alls, tvärt om ställer jag en fråga om huruvida detta är rätt uppfattat eller ej (baserat på tidigare inlägg i tråden). Därav alla "?" i intägget, vettu..