image

Symantec: mobiel bankieren-apps lekken vingerafdruk van klanten

donderdag 1 september 2022, 14:00 door Redactie, 11 reacties

Onderzoekers van Symantec hebben vijf apps van banken ontdekt die de vingerafdrukken van honderdduizenden klanten lekken, zo laat het securitybedrijf vandaag weten. De apps maken gebruik van de AI Digital Identity SDK (software development kit) voor het authenticatieonderdeel. Dit onderdeel geeft gebruikers, bijvoorbeeld via een vingerafdrukscan, toegang tot de mobiel bankieren-app.

In de SDK vonden onderzoekers de inloggegevens voor de clouddienst waar data van de betreffende apps werd opgeslagen. Deze clouddienst bevatte persoonlijke data zoals namen en geboortedata van klanten, maar ook 300.000 biometrische digitale vingerafdrukken die klanten gebruiken om op de app in te loggen. Om welke banken het precies gaat is niet bekendgemaakt, behalve dat het verschillende "populaire bankieren-apps" voor iOS betreft.

De onderzoekers van Symantec analyseerden apps voor zowel Android als iOS. Ze vonden ruim 1800 apps met hardcoded inloggegevens voor de clouddiensten van Amazon. In bijna alle gevallen werden de inloggegevens in iOS-apps aangetroffen, waaronder ook de vijf bankieren-apps. Via de gelekte inloggegevens was het volgens de onderzoekers mogelijk om miljoenen private bestanden in Amazons S3-cloudopslagdienst te benaderen.

Reacties (11)
01-09-2022, 14:15 door Anoniem
Die app is zo vreselijk veilig. Volgens de bank dan...

Doe maar steeds meer gewoon cash. Bank zo snel mogelijk uit faseren.
01-09-2022, 14:34 door Anoniem
Via de gelekte inloggegevens was het volgens de onderzoekers mogelijk om miljoenen private bestanden in
Amazons S3-cloudopslagdienst te benaderen
Raar waarom moeten wij allemaal aan de smartphone, ik weet het niet maar ben wel nieuwsgierig wat de echte
reden is. Dit geld voor alle apps dus ook die van de overheid en die D66 nog in het verschiet heeft. ik laat me
echt verrassen door de waarheid als die er echt ooit komt, Ps er zijn er die dat weten maar die mogen niets zeggen
want ze worden gelijk als idioten neer gezet.
01-09-2022, 14:57 door Briolet
behalve dat het verschillende "populaire bankieren-apps" voor iOS betreft.

Dan doet iOS iets niet goed. Bij android ziet de app de vingerafdruk nooit. De app ziet alleen dat 'het systeem' de vingerafdruk goedgekeurd heeft.
01-09-2022, 15:14 door Anoniem
Door Anoniem:
Via de gelekte inloggegevens was het volgens de onderzoekers mogelijk om miljoenen private bestanden in
Amazons S3-cloudopslagdienst te benaderen
Raar waarom moeten wij allemaal aan de smartphone, ik weet het niet maar ben wel nieuwsgierig wat de echte
reden is. Dit geld voor alle apps dus ook die van de overheid en die D66 nog in het verschiet heeft. ik laat me
echt verrassen door de waarheid als die er echt ooit komt, Ps er zijn er die dat weten maar die mogen niets zeggen
want ze worden gelijk als idioten neer gezet.
U heeft UW mening al klaar, zo te lezen.
01-09-2022, 15:21 door Anoniem
Door Briolet:
behalve dat het verschillende "populaire bankieren-apps" voor iOS betreft.

Dan doet iOS iets niet goed. Bij android ziet de app de vingerafdruk nooit. De app ziet alleen dat 'het systeem' de vingerafdruk goedgekeurd heeft.

Bovendien is de opgeslagen vingerafdruk net zo iets als een password hash. Als je de hash steelt kun je daarmee
normaal gesproken nog nergens inloggen, dan moet je eerst nog even het password erbij vinden. In het geval van
de vingerafdruk moet je dus de vingerafdruk zoeken die de betreffende hash geeft zodat je daarvan dan een replica
kunt maken om daar mee in te loggen.
01-09-2022, 15:28 door Anoniem
Het gaat hier dus over twee zaken, inloggegevens van cloudopslag die niet in de apps horen te zitten en dus toegang geven tot een bulk aan persoonsgegevens waaronder vingerafdrukken.
En dus dat de biometrische informatie in die oudopslag wordt opgeslagen. Ik hoop dan toch dat het een afgeleide daarvan betreft.
Klinkt al met al weer als een hoop gepruts.
01-09-2022, 15:52 door Anoniem
iOS apps krijgen helemaal geen toegang tot biometrische gegevens zoals vingerafdrukken en faceid.
01-09-2022, 16:56 door Open source gebruiker - Bijgewerkt: 01-09-2022, 16:57
Door Anoniem:
Door Anoniem:
Via de gelekte inloggegevens was het volgens de onderzoekers mogelijk om miljoenen private bestanden in
Amazons S3-cloudopslagdienst te benaderen
Raar waarom moeten wij allemaal aan de smartphone, ik weet het niet maar ben wel nieuwsgierig wat de echte
reden is. Dit geld voor alle apps dus ook die van de overheid en die D66 nog in het verschiet heeft. ik laat me
echt verrassen door de waarheid als die er echt ooit komt, Ps er zijn er die dat weten maar die mogen niets zeggen
want ze worden gelijk als idioten neer gezet.
U heeft UW mening al klaar, zo te lezen.

Wat is er mis met het hebben van een eigen mening?
On topic, mij lijkt het een serieus probleem als app gegevens lekken van welke aard dan ook.
Daar zou het over moeten gaan in uw bijdrage.
01-09-2022, 19:10 door Anoniem
Door Anoniem: Die app is zo vreselijk veilig. Volgens de bank dan...

Doe maar steeds meer gewoon cash. Bank zo snel mogelijk uit faseren.
Zelfs zo extreem veilig dat mijn bank blijft promoten dat je ook zou kunnen inloggen met enkel een vijf-cijferige code.
Mijn overzicht hoeveel nog te besteden doe ik wel middels briefjes en muntjes. Voor de rest gewoon via een dichtgetimmerde browser.
02-09-2022, 09:49 door jcx4
Klinkt allemaal spannend, maar deze hashes zijn (a) telefoonspecifiek en (b) niet te herleiden tot een daadwerkelijke vingerafdruk.
02-09-2022, 10:24 door Anoniem
Door Anoniem:
Via de gelekte inloggegevens was het volgens de onderzoekers mogelijk om miljoenen private bestanden in
Amazons S3-cloudopslagdienst te benaderen
Raar waarom moeten wij allemaal aan de smartphone, ik weet het niet maar ben wel nieuwsgierig wat de echte
reden is. Dit geld voor alle apps dus ook die van de overheid en die D66 nog in het verschiet heeft. ik laat me
echt verrassen door de waarheid als die er echt ooit komt, Ps er zijn er die dat weten maar die mogen niets zeggen
want ze worden gelijk als idioten neer gezet.

ROTFLOL.

Jij wilt graag een blikje Consipracy opentrekken. Nou *proost* er op maar ik drink niet met je mee
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.