SKREMT: Sikkerhetseksperten Einar Otto Stangvik brukte ikke lang tid på å finne flere hull i en rekke norske apper.  Foto: Ole Petter Baugerød Stokke
SKREMT: Sikkerhetseksperten Einar Otto Stangvik brukte ikke lang tid på å finne flere hull i en rekke norske apper. Foto: Ole Petter Baugerød StokkeVis mer

Nettbank-appene er sårbare

Hackere kan enkelt legge inn egne nettsider og lese av data. Nå tar bankene affære.

– Jeg tror vi er litt naive, sier Einar Otto Stangvik til DinSide.

Han ble i sommer kjent som "super-hacker" gjennom VG, etter å ha avslørt en Høyre-politikers spredning av nakenbilder, stjålet fra intetanende kvinner. Til daglig jobber han som sikkerhetsekspert i sitt eget enmannsselskap Indev.

Nå har Stangvik gått gjennom en rekke av de mest brukte norske appene, og kan til DinSide avsløre det han ser på som store svakheter i mange av dem.

– Det var på høy tid noen sjekket dette, mener Stangvik.

Norske apper kan bryte loven, mener Datatilsynet

Angrep #1: Falskt innhold i appen

DinSide møter ham på kafeen Laundromat i Oslo. Stangvik logger seg på kafeens nettverk på mobilen, slik alle gjestene kan, og gjør det samme med PC-en. Hundrevis av tekstlinjer farer over skjermen hans.

Målet er først å lure mobilen til å tro at PC-en er den trådløse ruteren, så all kommunikasjon mellom mobilen og internett foregår via Stangvik. Han får da kontroll over hva serverne og appene sier til hverandre.

Dette kalles et "man-in-the-middle"-angrep, da noen befinner seg mellom deg og nettet uten at du vet om det. På denne måten kan hackeren både lese av og endre data som går mellom nettet og mobilen. Og det er nettopp slike angrep Stangvik mener de norske appene er sårbare for.

"MANN I MIDTEN": Når hackeren befinner seg mellom appen og serverne appen bruker, kan han både lese av og sende data til den. Foto: Ole Petter Baugerød Stokke/All Over Press Vis mer


Han viser oss første eksempel: DNBs nettbank-app henter ned data fra DNBs servere for å vise diverse info i bokser øverst i appen. Men når både mobilen og serverne har blitt lurt til å snakke med hverandre via Stangviks PC, i stedet for direkte med hverandre, kan han endre boksene som han vil. Han trenger bare å stanse innholdet serveren forsøker å sende appen, og bytte dette ut med sitt eget. "Du har vunnet! Klikk her for å se mer" står det plutselig i DNBs egen app. Boksen er falsk, og lenken sender brukeren til Stangviks egen nettside.

Hvorfor vil Wordfeud lese kontaktlisten vår? Vi spurte utvikleren

FALSKT: Boksen med pengesekken øverst i DNB-appen er falsk, laget av Stangvik og sprøytet inn i appen. Foto: Ole Petter Baugerød Stokke Vis mer


– Når folk går på phishing-e-poster skrevet på dårlig norsk, tenk hvor lurt de blir av dette. Mange vil tenke "Om nettbank-appen sier jeg har vunnet, så har jeg vel det!", mener Stangvik.

Det falske innholdet kan brukes for å svindle til seg folks sensitive informasjon, for eksempel for å logge seg inn på andres nettbanker. Og i noen tilfeller kan det falske innholdet sprøyte ondsinnet programvare inn på mobilen din, så angrepene kan spre seg.

Han viser oss det samme type angrepet også på Nordea sin Android-app, og en video av et angrep på SpareBank 1 sin iPhone-app.

Angrep #2: Lese sensitiv informasjon

Stangvik tar en slurk kaffe og skriver nye linjer på PC-en sin. Han har enda mer på lager.

DNB-appen sender informasjon om deg mellom mobilen din og DNBs servere. Ettersom Stangviks PC befinner seg mellom disse, kan han lese av dataen. På skjermen ruller derfor saldoen, de ti siste transaksjonene og bruker-ID-en til bankkontoen (ikke kontonummeret) over skjermen hans når han åpner appen på mobilen.

Stangvik åpner en annen app for å vise det samme: NSB sin. Her får han raskt ut både brukernavn, passord og eventuell betalingsinformasjon brukeren legger inn. Det samme har han fått til i enda en populær, norsk reiseapp. Selv om informasjonen kan være kryptert, trenger det ifølge Stangvik ikke å være noe problem å bruke den.

LEKASJE: Dette sier kanskje ikke deg stort, men for en hacker kan slik informasjon for eksempel bety passordene dine, hentet fra appene dine. Foto: Ole Petter Baugerød Stokke Vis mer


De norske appene han har sjekket er altså sårbare for to type angrep: Falsk informasjon inn i appene, og informasjon som lekker ut av appene.

– Jeg synes begge er like skremmende, sier Stangvik, som forteller han bare brukte tre dager på å finne alle hullene.

– Det er uhyre lite komplisert, alt du trenger finner du gratis på nettet. Jeg er overrasket over at ingen har gjort dette allerede.

Slik blir din nye BankID-hverdag uten Java

Mange av hullene gjelder altså både på Android og iPhone. Windows Phone har han ikke hatt mulighet til å sjekke, men angrepene er i prinsippet uavhengig av operativsystem.

Og det appene gjør feil, ifølge Stangvik, er å ikke sjekke at serveren appen snakker med faktisk tilhører appen. Dermed kan han late som om PC-en hans er for eksempel DNBs server, og lese og endre det som sendes, selv når informasjonen er kryptert.

– Utviklerne har vært naive, mener Stangvik.

FÅR TAKK: Einar Otto Stangvik har snakket med bankene, som nå har oppdatert appene og takker Stangvik for hjelpen. Foto: Ole Petter Baugerød Stokke Vis mer


Bankene tar grep

Stangvik har advart alle involverte om hullene. Mange av appene er derfor nå oppdaterte for å rette disse feilene, deriblant DNB sin. DNB-appen Stangvik brukte under vår demonstrasjon var rundt én uke gammel, så fortsatt er det trolig mange som har de usikre appene på sine mobiler.

"Vi burde naturligvis ha oppdaget dette selv, og derfor har vi nå gått gjennom våre rutiner for testing av denne typen IT-løsninger, slik at vi sikrer oss best mulig mot slike feil i fremtiden" skriver informasjonsdirektør Even Westerveld i DNB til DinSide, som understreker at de ikke har sett noe misbruk av hullet.

ORDNER OPP: Kommunikasjonssjef Unni Strømstad i Nordea lover at appen blir sikrere. Foto: NORDEA Vis mer


Også SpareBank 1 har oppdatert appen sin, selv om de ikke har sett noe misbruk.

"Feilen skyldes en kvalitetssvikt hos oss da vi åpnet for bruk av annonse-bannere inne i selve appen. Svakheten har ikke vært knyttet til mobilbanken som kunden har tilgang til via appen" skriver kommunikasjonsdirektør Christian Brosstad i SpareBank 1 til DinSide.

Hvordan kan nettbanken vite hva som står på kodebrikken din?

Nordea lover også bot og bedring.

"Men vi har ikke så langt identifisert at Android-appen vår utnyttes til denne typen angrep. Vi følger opp dette fortløpende i vår mobilutvikling" skriver kommunikasjonssjef Unni Strømstad i Nordea til DinSide.

Mens NSB er tause.

"Som du sikkert har forståelse for, ønsker vi ikke å kommentere hvilke sikkerhetsopplegg vi har i appen vår, og kan derfor ikke gi noe mer informasjon om dette" skriver kommunikasjonsrådgiver Erik Lødding i NSB til DinSide.

Alle de tre bankene takker Stangvik for at han gjorde dem oppmerksom på svakhetene. Han skal også ha funnet liknende hull i flere andre norske apper, som han ikke har rukket å snakke med ennå. DinSide har dessuten utelatt navn på apper fra selskaper vi ikke har fått kommentarer fra ennå.

Som alltid er det viktig at du oppdaterer programmene dine, også på mobilen. DinSide har flere tips her om hvordan du kan sikre deg mot slike type angrep.