Citeam ieri pe Twitter și pe blogul lui Cristi Serb că Unicredit Țiriac a lansat o aplicație de mobile banking pentru dispozitivele mobile. Lăudabilă inițiativa, însă dacă e să ne uităm mai în amănunt vom observa o greșeală enormă.
Întrucât nu am cont la ei nu pot spune ceva despre modul în care sunt stocate datele pe dispozitiv deoarece nu mă pot loga în aplicație. Însă un simplu sniffing de trafic arată asta:
Traficul este HTTP, necriptat (port 80) și a fost făcut la încercarea de autentificare.
Acum dacă e să analizăm și partea de cod ne este confirmat încă odată acest lucru:
hr.asseco.android.remoting.d locald = new hr.asseco.android.remoting.d(new hr.asseco.android.remoting.a.d(„http://mobro.unicreditbanking.net/PS”, „1000333”, str1, arrayOfString1[0], arrayOfString1[1]));
Din păcate se pare că absolut toată comunicația se face necriptat:
String str1 = localRowData.c;
if ((str1.toLowerCase().startsWith(„http://”)) || (str1.toLowerCase().startsWith(„https://”)))
continue;
str1 = „http://” + str1;
:try_start_0
const-string v0, „http://mobro.unicreditbanking.net/d/<CONFIG_ID>/MobileBanking.cfg”
Cu alte cuvinte, dacă din greșeală ajungi pe HTTPS mai bine du-te pe HTTP (e mai sigur pentru bancă).
Din păcate pentru utilizatori nu mai este deloc sigur. Gândiți-vă doar că sunteți conectați pe o rețea wireless publică și vă accesați contul bancar, iar cineva vă interceptează datele. Întrucât comunicația nu este criptată nu mai e nevoie de alte trucuri pentru vedea datele în clar, cu un banal WireShark. Iar de aici până la a vă dispărea banii din cont mai e un singur pas.
Sigur, poate că nu voi ați făcut tranzacția respectivă, dar încercați să demonstrați asta băncii, mai ales că băncile după cum am văzut nu prea își dau mare interes dacă pierderea e de partea clientului.
Este inacceptabil ca o bancă să nu cripteze traficul ce vine către ea. Ca o notă de subsol, acum vreun an am trimis un mail la top 10 bănci din România în care am întrebat dacă traficul dintre POS și bancă este criptat, iar cele 4-5 bănci care mi-au răspuns au spus că această informație este confidențială. Mi se pare normal, nu trebuie eu să știu dacă datele mele sunt în siguranță, trebuie să am încredere oarbă că banca mă protejează pe mine.
Da, e revoltator cum bancile nu acorda o minima protectie utilizatorilor si clientilor sai. Cred ca incheierea cu spotul publicitar FNI spune mai mult decat 1000 de cuvinte!