Jonny Rein Eriksen

0laf skrev (5 timer siden):

Jeg benytter Swedbank, en av Sveriges største banker, og det er hverken biometri eller QR-koder involvert i signering med BankID, selv om svensk BankID nå selvfølgelig støtter dette, det ser ut for meg som om det fungerer på akkurat samme måte som norsk BankID, så fremt man bruker mobilen.

Det stemmer, men ta en titt her: https://www.swedbank.se/privat/digitala-tjanster/internetbanken/hjalp-att-logga-in.html

Det er kun når du logger inn med BankID på en annen enhet at du potensielt er utsatt for Vishing. Dermed er det også kun da du må bruke QR-kode.

Det er veldig uklart hvordan du mener dette skal fungere. En angriper som f.eks. har klart å injisere javascript på nabobil.no, vil selvfølgelig kunne flytte den originale iframen ut at av viewporten og serve opp en falsk iframe som ser identisk ut.

 

Men han vil ikke kunne skrive eller lese til den originale iframen, og har dermed ikke mulighet til å "videresende referanseordene" pga same origin policy (med mindre du har en kompromittert browser). Og da klapper hele dette "angrepet" sammen.

 

For at dette skal fungere så må kompromittert webserver laste en falsk BankID iframe som åpner en websocket til angripers webserver ifølge same-origin policy. Dette er tilsvarende det som ble konseptuelt demonstrert for vanlig BankID. Når bruker så oppgir fødselsdato og telefonnummer så sendes dette til angripers webserver. Angriper bruker en extension på sin browser som er laget for å kommunisere mellom angripers webserver og angripers nettleser. Således mottar han telefonnummer og fødselsdato, injiserer dette i ekte BankID iframe ved hjelp av extension og en går videre til steg to. Straks referanseord dukker opp i angripers BankID iframe så leses dette fra DOM ved hjelp av extension. Referanseord sendes deretter tilbake til angripers webserver som igjen proxyer dette til falsk BankID iframe.

Dette har jeg dessverre ikke forklart i original artikkel, så at dette fremstår som uklart er berettiget kritikk.

Men det mest selsomme med hele denne tiraden fra Eriksen er det såkalte MITM-angrepet på BankID på mobil beskrevet i den første saken, hvor en falsk iframe proxyer kall til en ekte og henter ut navn på brukersted og kodeord for å på den måten lure brukeren til å tro at hele dialogen er ekte. For at dette skal fungere forutsettes det en kompromittert browser, og er således er hele "angrepet" fullstendig uinteressant. Folk flest har ikke installert browser extensions som stripper vekk sikkerhetsmekanismer som content-security-policy og x-frame-options, som selvfølgelig finnes nettopp for å hindre (bl.a.) denne angrepsvektoren.

 

Les gjerne den første artikkelen en gang til. Jeg skriver blant annet:

Eksempelet er kun ment å illustrere punktet nevnt tidligere: «Et siste alternativ er å angripe en eksisterende tjeneste som ikke bruker BankID til vanlig, for så å endre denne slik at en falsk BankID-iframe blir injisert på et passende sted. Eksempelvis innloggingssidene på en avis eller et forum.»

Demonstrasjonen er utført lokalt, men illustrerer et angrep utført mot f.eks. webserver.

Og dersom BankID virkelig utgjør en så stor sikkerhetsrisiko samtidig som innloggingsmetoden brukes av tusenvis mennesker daglig, hvorfor er denne debatten gjemt på et lite nettsted med noen få kommentarer fra "spesielt interesserte"?

Jeg valgte å gå til digi.no fordi det er avisen med størst og best fokus på it-sikkerhet. I tillegg er leserne her de som best forstår sikkerhets-spørsmål.