W każdym banku internetowym mamy możliwość wydrukowania potwierdzenia zrealizowanego przelewu. W erze bankowości elektronicznej potwierdzenia takie stają się coraz częściej rzetelnym dokumentem poświadczającym wpłatę należności za zakupy, usługi, rachunki itp. - pisze na swoim blogu Mariusz Dalewski, odkrywca luki.

- Potwierdzenia takie są zazwyczaj łatwo modyfikowalne dla użytkownika mającego podstawową wiedzę na temat HTML-a bądź dowolnego programu graficznego. A co w wypadku, kiedy to sam bank daje nam narzędzie do drukowania fałszywych potwierdzeń realizacji przelewu? Taka sytuacja miała miejsce w mBanku, detalicznej części BRE Banku. Mariusz Dalewski szczegółowo opisał znalezioną podatność:

W przypadku zlecenia realizacji przelewu, trafia on do kolejki, która zostanie wysłana najbliższą sesją wychodzącą. W tym czasie użytkownik zamiast guzika Wydruk potwierdzenia widzi komunikat ** Przelew nie został jeszcze zrealizowany **. Podobny komunikat widoczny jest w przypadku odwołanego zlecenia przelewu: ** Wydruk potwierdzenia jest niedostępny, gdyż przelew został odrzucony. **.

Korzystając z oprogramowania do zmiany zawartość pamięci podręcznej przeglądarki, można podmienić ww. tekst na kod odpowiadający wywołaniu drukowania potwierdzenia przelewu. Po kliknięciu na dodany w ten sposób przycisk, uzyskujemy dokument potwierdzający realizację przelewu. Dokument taki zawiera wszystkie dane, jak w przypadku oryginalnego potwierdzenia, w tym unikalny numer referencyjny. Ww. podatność można wykorzystać w obu przypadkach: potwierdzenia niezrealizowanego jeszcze przelewu, jak i potwierdzenia odwołanego już zlecenia.

mBank został poinformowany o luce 8 października. Redakcja Dziennika Internautów poprosiła bank o skomentowanie zaistniałej sytuacji. Otrzymaliśmy list od rzecznika prasowego Anny Moszczyńskiej, która napisała:

mBank bardzo uważnie i stale monitoruje serwis transakcyjny pod kątem bezpieczeństwa i stara się zapewnić swoim Klientom jak najlepszy poziom usług - słuchając ich uwag, zgłoszeń i oczekiwań. Zgodnie z naszą praktyką, szczegółowej analizie poddaliśmy również przedstawiony przez Państwa przypadek.

Opisany algorytm modyfikacji polega na manipulowaniu danymi na poziomie przeglądarki Klienta jako celowy i przemyślany ruch po jego stronie. mBank nie odpowiada za stacje Klientów i ich zachowania, jedynie rekomenduje ustawienia komputerów oraz przeglądarek, po zastosowaniu których Klienci mogą bezpiecznie korzystać z jego usług.

Posługiwanie się sfałszowanymi dokumentami jest karalne i konsekwencje takiego postępowania spoczywają na osobie dopuszczającej się fałszerstwa. Podobnie należy interpretować modyfikacje stron HTML dostarczanych do klienta cyfrowo. Uzyskiwanie fałszywych potwierdzeń stanowi wynik świadomych i podejmowanych przez użytkownika mBanku w złej wierze działań.

Wychodząc naprzeciw oczekiwaniom, zapewniamy, że poczynimy zmiany, aby utrudnić możliwość manipulacji.

mBank szybko wywiązał się z tych zapewnień. Dziennik Internautów poprosił Michała Piszczka, Kierownika Działu Programistów w firmie ESC S.A. Kraków, o wykonanie krótkiego testu podatności na opisywany atak. Jego wynik przedstawia zrzut ekranu po lewej stronie. Nie jestem w stanie potwierdzić, czy podatność istniała, w chwili obecnej wygląda na załataną - powiedział nam Michał Piszczek. Jego zdaniem nie był to błąd krytyczny, ponieważ równie dobrze fałszywe potwierdzenie można spreparować np. w Photoshopie.

Potwierdza to Piotr Konieczny, nasz stały konsultant ds. bezpieczeństwa: W mojej opinii, błędu znalezionego przez Waszego Czytelnika nie można zakwalifikować do kategorii błędów bezpieczeństwa. Gdyby tak było, za "dziurę w mBanku" musielibyśmy także uznać programy takie jak MS Paint, Photoshop czy nawet MS Word... - w każdym z nich, niewielkim nakładem pracy da się wyprodukować potwierdzenie przelewu identyczne z oryginalnym.

Znaleziona pomyłka programistyczna zwraca jednak uwagę na o wiele poważnieszy problem systemów mBanku - brak stosowania podpisu elektronicznego do uwierzytelnienia dokumentów takich, jak potwierdzenie przelewu. Niestety, przy obecnym stanie technologii i ustawodawstwa, podpis elektroniczny to praktycznie jedyna poprawna metoda sprawdzenia wiarygodności danego dokumentu w wirtualnym świecie.

AKTUALIZACJA 12.10.2008

Mariusz Dalewski, odkrywca opisanej wyżej luki, przysłał do redakcji Dziennika Internautów kolejny list: Sprawdziłem występowanie błędu przed sekundą i nadal można go wykonać. Ktoś, kto testował tę podatność, musiał popełnić jakiś błąd.

Tagi:    mBank  luki