mBank łata lukę wykrytą przez Czytelnika DI

10-10-2008, 11:04

Jeden z Czytelników Dziennika Internautów, zajmujący się zawodowo bezpieczeństwem teleinformatycznym, poinformował redakcję o znalezieniu błędu w systemie mBanku, który pozwalał na wydrukowanie fałszywych potwierdzeń przelewu. Bank zareagował błyskawicznie.

W każdym banku internetowym mamy możliwość wydrukowania potwierdzenia zrealizowanego przelewu. W erze bankowości elektronicznej potwierdzenia takie stają się coraz częściej rzetelnym dokumentem poświadczającym wpłatę należności za zakupy, usługi, rachunki itp. - pisze na swoim blogu Mariusz Dalewski, odkrywca luki.

- Potwierdzenia takie są zazwyczaj łatwo modyfikowalne dla użytkownika mającego podstawową wiedzę na temat HTML-a bądź dowolnego programu graficznego. A co w wypadku, kiedy to sam bank daje nam narzędzie do drukowania fałszywych potwierdzeń realizacji przelewu? Taka sytuacja miała miejsce w mBanku, detalicznej części BRE Banku. Mariusz Dalewski szczegółowo opisał znalezioną podatność:

W przypadku zlecenia realizacji przelewu, trafia on do kolejki, która zostanie wysłana najbliższą sesją wychodzącą. W tym czasie użytkownik zamiast guzika Wydruk potwierdzenia widzi komunikat ** Przelew nie został jeszcze zrealizowany **. Podobny komunikat widoczny jest w przypadku odwołanego zlecenia przelewu: ** Wydruk potwierdzenia jest niedostępny, gdyż przelew został odrzucony. **.

Korzystając z oprogramowania do zmiany zawartość pamięci podręcznej przeglądarki, można podmienić ww. tekst na kod odpowiadający wywołaniu drukowania potwierdzenia przelewu. Po kliknięciu na dodany w ten sposób przycisk, uzyskujemy dokument potwierdzający realizację przelewu. Dokument taki zawiera wszystkie dane, jak w przypadku oryginalnego potwierdzenia, w tym unikalny numer referencyjny. Ww. podatność można wykorzystać w obu przypadkach: potwierdzenia niezrealizowanego jeszcze przelewu, jak i potwierdzenia odwołanego już zlecenia.

mBank został poinformowany o luce 8 października. Redakcja Dziennika Internautów poprosiła bank o skomentowanie zaistniałej sytuacji. Otrzymaliśmy list od rzecznika prasowego Anny Moszczyńskiej, która napisała:

mBank bardzo uważnie i stale monitoruje serwis transakcyjny pod kątem bezpieczeństwa i stara się zapewnić swoim Klientom jak najlepszy poziom usług - słuchając ich uwag, zgłoszeń i oczekiwań. Zgodnie z naszą praktyką, szczegółowej analizie poddaliśmy również przedstawiony przez Państwa przypadek.

Opisany algorytm modyfikacji polega na manipulowaniu danymi na poziomie przeglądarki Klienta jako celowy i przemyślany ruch po jego stronie. mBank nie odpowiada za stacje Klientów i ich zachowania, jedynie rekomenduje ustawienia komputerów oraz przeglądarek, po zastosowaniu których Klienci mogą bezpiecznie korzystać z jego usług.

Posługiwanie się sfałszowanymi dokumentami jest karalne i konsekwencje takiego postępowania spoczywają na osobie dopuszczającej się fałszerstwa. Podobnie należy interpretować modyfikacje stron HTML dostarczanych do klienta cyfrowo. Uzyskiwanie fałszywych potwierdzeń stanowi wynik świadomych i podejmowanych przez użytkownika mBanku w złej wierze działań.

Wychodząc naprzeciw oczekiwaniom, zapewniamy, że poczynimy zmiany, aby utrudnić możliwość manipulacji.

Zrzut ekranu obrazujący wynik testu.
fot. DI - Zrzut ekranu obrazujący wynik testu.
mBank szybko wywiązał się z tych zapewnień. Dziennik Internautów poprosił Michała Piszczka, Kierownika Działu Programistów w firmie ESC S.A. Kraków, o wykonanie krótkiego testu podatności na opisywany atak. Jego wynik przedstawia zrzut ekranu po lewej stronie. Nie jestem w stanie potwierdzić, czy podatność istniała, w chwili obecnej wygląda na załataną - powiedział nam Michał Piszczek. Jego zdaniem nie był to błąd krytyczny, ponieważ równie dobrze fałszywe potwierdzenie można spreparować np. w Photoshopie.

Potwierdza to Piotr Konieczny, nasz stały konsultant ds. bezpieczeństwa: W mojej opinii, błędu znalezionego przez Waszego Czytelnika nie można zakwalifikować do kategorii błędów bezpieczeństwa. Gdyby tak było, za "dziurę w mBanku" musielibyśmy także uznać programy takie jak MS Paint, Photoshop czy nawet MS Word... - w każdym z nich, niewielkim nakładem pracy da się wyprodukować potwierdzenie przelewu identyczne z oryginalnym.

Znaleziona pomyłka programistyczna zwraca jednak uwagę na o wiele poważnieszy problem systemów mBanku - brak stosowania podpisu elektronicznego do uwierzytelnienia dokumentów takich, jak potwierdzenie przelewu. Niestety, przy obecnym stanie technologii i ustawodawstwa, podpis elektroniczny to praktycznie jedyna poprawna metoda sprawdzenia wiarygodności danego dokumentu w wirtualnym świecie.

AKTUALIZACJA 12.10.2008

Mariusz Dalewski, odkrywca opisanej wyżej luki, przysłał do redakcji Dziennika Internautów kolejny list: Sprawdziłem występowanie błędu przed sekundą i nadal można go wykonać. Ktoś, kto testował tę podatność, musiał popełnić jakiś błąd.


Źródło: DI24.pl
Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl
Tematy pokrewne:  

tag Michał Piszczektag mBanktag luki
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31