Maanantai 24.6.2019

”Varas voi viedä rahasi mobiiliverkkopankista” – näin murtuu Nordean ylistämän sovelluksen tietoturva

Luotu: 
5.9.2018 13:39
Päivitetty: 
6.9.2018 14:21
  • Kuva: Outi Järvinen / Alma Talent arkisto
    Kuva
    Arkistokuva.
|

Tunnuslukulistan vaihtaminen mobiilisovellukseen tuo mukanaan parempaa tietoturvaa. Täydellistä elo sovelluksenkaan kanssa ei kuitenkaan ole.

Käyttöliittymäkehitykseen erikoistuneen Adusson toimitusjohtaja Janne Pitkänen kertoo Puheenvuoro-blogissaan Nordean sovelluksesta löytämästään aukosta.

Lue lisää: Varas voi viedä rahasi mobiiliverkkopankista ellet varaudu erikoisella tavalla

Pitkäsen mukaan puhelimeen asennetulla näytöntallennussovelluksella voidaan tallentaa näytöltä asiakasnumero. Vaikka ruutu pimeneekin tunnuslukusovelluksen käytön ajaksi, voi näyttötallentimesta kytkeä päälle näyttökosketusten visualisointi -toiminnon. Sen jättämien jälkien avulla oikea tunnusluku on helppo päätellä näytöle jääneistä virtuaalijäljistä.

Lopuksi varkaan tarvitsee vielä päästä käsiksi puhelimeen ja saada se auki. Sen jälkeen tilisiirrot soljuvat ongelmitta. Suuriin summiin vaadittavat tekstiviestivahvistuksetkin luonnollisesti onnistuvat, puhelin kun on varkaan käsissä.

Päivitys 6.9.: Nordean mukaan yhtään tällaista väärinkäyttötapausta ei ole havaittu. Lue Nordean vastaus väitteisiin täältä.

Nordean vakuuttelut sovelluksen itsetuhomekanismista ovat myös Pitkäsen mukaan pötypuhetta. Sovellus ei tuhonnut itseään saati reagoinut näyttökuvan tallentamiseen muutenkaan.

Pitkäsen oma ratkaisu tilanteeseen on sim-kortilla varustettu älykello, johon tilisiirtojen vahvistusviestit tulevat. Nokkela varas toki vie puhelimen lisäksi myös kellon, jolloin temppu onnistuu edelleen.

Keskustelua aiheesta Uuden Suomen blogeissa: 
Henkilöt: 
Jaa artikkeli:

Kommentit

Juha-pekka Naukkarinen

Olen tästä valittanut Nordeaan siitä asti,kun latasivat älylaitteisiini nämä ohjelmat,jos on kiinteä koodi,joka aina pitää naputella bittiavaruuteen,niin onhan riski väärinkäytöksiin paljon suurempi,kuin tunnuslukukortti vaihtuvalla koodilla ja asiakastunnuksella,koska entinen koodi ei ole voimassa,vaikka sen joku nappaisi sieltä,tämähän on pelkkä säästö toimi Nordealta,eikä mitään tekemistä turvallisuuden kanssa,varsinkaan kun se ei toimi,vaan aina on "tilapäinen häiriö,yritä hetken kuluttua uudelleen" mitä ei koskaan tapahdu tunnuslukukorttia käyttäessäni!