Am citit articolul dumneavoastra referitor la serviciul de Mobile B@nking al UniCredit Tiriac Bank, aparut pe blog pe 18 octombrie. Pentru ca nu ati incercat inca serviciul nostru, am dori sa facem cateva precizari in ceea ce priveste securitatea acestuia, astfel incat sa aveti o privire de ansamblu mai larga asupra subiectului in cauza.

Astfel:

–       comunicatia este criptata, folosind protocolul MSCP proprietar de criptare a datelor si este incapsulata in trafic HTTP, de aceea la autentificare se vede in clar comunicatia HTTP. Am facut aceasta alegere pentru a suporta si terminale mai vechi care nu puteau folosi protocolul HTTPS;
–       protocolul MSCP foloseste criptografie RSA pe 1024 biti pentru schimbul chei de sesiune, cat si criptare 3DES pe 128 biti pentru criptarea traficului dintre client si server;
–       codul PIN pentru accesul si semnarea tranzactiilor prin intermediul aplicatiei de Mobile B@nking nu este stocat si nici nu este transmis explicit prin comunicatie;
–       la semnarea platilor se utilizeaza doua metode: challenge-response si MAC, pentru adaugarea unui plus de securitate informatiilor transmise.

Speram ca informatiile de mai sus va sunt de ajutor si pentru orice alte informatii referitoare la acest produs sau la alte produce ale bancii noastre, va stam la dispozitie.

Va multumim,
Echipa UniCredit Tiriac Bank

Cu alte cuvinte se folosește HTTP peste tot, însă informațiile transmise sunt criptate. Oare cheile de criptare sunt stocate în codul aplicației?

Întrucât nu am cont la ei nu pot spune ceva despre modul în care sunt stocate datele pe dispozitiv deoarece nu mă pot loga în aplicație. Însă un simplu sniffing de trafic arată asta:

Traficul este HTTP, necriptat (port 80) și a fost făcut la încercarea de autentificare.

Acum dacă e să analizăm și partea de cod ne este confirmat încă odată acest lucru:

hr.asseco.android.remoting.d locald = new hr.asseco.android.remoting.d(new hr.asseco.android.remoting.a.d(„http://mobro.unicreditbanking.net/PS”, „1000333”, str1, arrayOfString1[0], arrayOfString1[1]));

Din păcate se pare că absolut toată comunicația se face necriptat:

String str1 = localRowData.c;
if ((str1.toLowerCase().startsWith(„http://”)) || (str1.toLowerCase().startsWith(„https://”)))
continue;
str1 = „http://” + str1;

:try_start_0
const-string v0, „http://mobro.unicreditbanking.net/d/<CONFIG_ID>/MobileBanking.cfg”

Cu alte cuvinte, dacă din greșeală ajungi pe HTTPS mai bine du-te pe HTTP (e mai sigur pentru bancă).

Din păcate pentru utilizatori nu mai este deloc sigur. Gândiți-vă doar că sunteți conectați pe o rețea wireless publică și vă accesați contul bancar, iar cineva vă interceptează datele. Întrucât comunicația nu este criptată nu mai e nevoie de alte trucuri pentru vedea datele în clar, cu un banal WireShark. Iar de aici până la a vă dispărea banii din cont mai e un singur pas.

Sigur, poate că nu voi ați făcut tranzacția respectivă, dar încercați să demonstrați asta băncii, mai ales că băncile după cum am văzut nu prea își dau mare interes dacă pierderea e de partea clientului.

Este inacceptabil ca o bancă să nu cripteze traficul ce vine către ea. Ca o notă de subsol, acum vreun an am trimis un mail la top 10 bănci din România în care am întrebat dacă traficul dintre POS și bancă este criptat, iar cele 4-5 bănci care mi-au răspuns au spus că această informație este confidențială. Mi se pare normal, nu trebuie eu să știu dacă datele mele sunt în siguranță, trebuie să am încredere oarbă că banca mă protejează pe mine.