Klara sig utan Bank-ID

Varför skulle du behöva det?

Telefonen hade allt annat jag ville ha, så att slå ut en funktion jag inte ville ha var lättare än att bygga egen high-end lur med löstagbart batteri. Drivrutinen är öppen, vem som helst kan läsa den. Slog upp vilken modell av fingeravtrycksläsare det borde vara och letade igenom Linux-träd tills jag hittade den. Inte raketforskning precis.

Men Android har väl inte drivrutiner (annat än i custom Kernels)? Kanske är sak samma i denna diskussion om BankID dock.

Tycker väl det är lite underligt att bankerna inte täpper till så det inte enkelt går att bli kapad tex där man blir uppringd och någon ber att logga in, menar massor av ställen tex spelklienter och andra har mycket bättre skydd än BankID mot detta genom 2 stegsinloggningar tex med att att datorn som ska loggas in är godkänd att göra det, via sms kod, Google Authenticator m.f sätt.

Detta skulle ju sätta stopp för bedragare i de flesta fall, först måste ju bedragaren få sin egen dator, telefon, platta godkänd att överhuvudtaget kunna logga in, och den enda som kan godkänna det är offret, då om inte förr borde det påtänkta offret bli misstänksam.

Hur ska du annars godkänna överföringar?

Android kör Linux i botten och Linux har drivrutiner. Linux har däremot inte ett fixt ABI för drivrutiner, vilket gör att du inte enkelt kan distrubera dem i förkompilerad form utan tillhörande kärna. Drivrutinerna brukar ofta refereras till som "moduler" i dokumentationen, eftersom Linux är en monolitisk kärna och de rent tekniskt därför är en del av samma kärna som du kör (trots att de laddas från disk vid behov).

Skickades från m.sweclockers.com

Dessutom är det lättare att attackera tjänster som Paypal (många skyddar bara med lösenord) eller banker i andra länder som kör 2FA med mobilnummer man kan kapa. Antingen kan folk ha kört samma lösenord på flera ställen, som läckt, eller så kan keylogger användas. Finns god anledning att tjänster har börjat eller redan har fasat ut 2FA via sms/samtal. Kapa nummer kan man göra både tekniskt och med social manipulation. Alltså helt utan att attackera måltavlans telefon eller/och dator.

Man blir kapad om man är typen av person som fortfarande tror på att man får 4 kantiga ögon av att se för mycket på TV.

Alltså, ringer någon och ber dig logga in, ja gör du det så tillhör du gruppen som inte bör ha mobilt bank-id.

Jag kan erkänna här och nu att jag inte klarar mig utan det, jag måste ha det för annars så kan jag inte ens logga in på banken, inte få mina fakturor eller annat heller.

/Lifooz

Efter som din egen inloggning misslyckades kommer du ju inom kort att försöka igen, så det är bara för attackkoden att hålla igång sessionen i väntan på nästa försök.

Skickades från m.sweclockers.com

Ok, den biten hade jag inte koll på. Det hjälper dock för att godkänna inloggning på andra ställen där integritetskränkande information finns. Dessutom vet ju botnätet att du är en aktiv användare av Mobilt BankID då och kan lägga till dig i en lista över aktiva användare, som senare kan säljas på dark web till scammers, som i sin tur mjölkar information till social engineering och identitetskapning.

Tror inte riktigt du förstod den biten, det som det gissar är alltså personnummer på kandidater till användare av Mobilt BankID. Det försöker inte knäcka kryptot, gissa pinkod, etc. Bara rent naivt test av huruvida användaren existerar och är aktiv, och i så fall skicka kontroll av sessionen vidare till mer skadlig kod.

Skickades från m.sweclockers.com

Hur mycket icke-offentlig information kommer du åt där och hur mycket skada kan du ställa till utan ytterligare interaktion med appen på telefonen?

Du förstår fortfarande inte. Användaren vet bara att inloggningen misslyckades på sin egen dator, inte hur eller varför. Användarens dator är inte inblandad i själva attacken alls, bortom att användaren tror att den legitima sidan på skärmen är den som initierade förfrågan på telefonen.

Skickades från m.sweclockers.com

Det är ingen session som kapas, det jag pratar om är en session som lämnas över mellan kodstycken på attackerarens nod i botnätet. Läs om vad jag skrev tidigare.

Jo det har de, men bara att du är en aktiv användare av Mobilt BankID. Men du har missat är biten med "race condition"; attackkoden måste starta inloggningsförsöket mellan att du påbörjar din inloggning och att du godkänner den med Mobilt BankID. Det låter som att de har implementerat rudimentärt skydd mot det nu till skillnad mot senast jag undersökte saken, men grundprincipen är densamma. Säkerhetsmodellen bygger fortfarande på antagen identitet och en tidlucka. Om de har så fatalt misslyckats med säker logik från början, vad är då oddsen för att det inte finns fler hål som folk kan hitta?

Vad pratar du om egentligen? Varför har du satt "inloggningsförsök" inom citattecken?

Läs det fetmarkerade igen då:

Det som jag syftade på var att efter att attackkoden hade lyckats med en inloggning behövde den bara köa upp nästa kommando som kräver godkännande via Mobilt BankID och skicka lite skräppaket för att inte automatiskt bli utloggad medan den väntar. Vi har dock redan etablerat att pengatransaktioner går under ett annat meddelande i appen, så just det kommandot fungerar naturligtvis inte.

Och samma gäller med koddosa, inloggning och godkännande är två olika förfaranden. Så varför skulle du attackera banken på det sättet?

Fortfarande, varför ska du gissa personnummer om du leder in målet på en falsk sida där de skriver in sitt personnummer? Det går inte att följa dig.

Koddosa på min bank behöver två sessionsunika koder för att generera en inloggningskod. Det är en OTP-baserad lösning som inte är tidskritisk utöver att de sessionsunika koderna fortfarande är inom giltighetsspannet hos servern. Mobilt BankID är en knapp som du trycker på för att släppa in ett inloggningsförsök.

Varifrån har du fått denna "falsk sida där de skriver in sitt personnummer"? Har inte pratat om någon sådan och det är heller inte relevant till diskussionen om botnät som gissar personnummer för att slumpmässigt försöka träffa en inloggning.