IT

SAS lagret ukryptert kredittkortinfo

Informasjonen kunne enkelt hentes ut av mobilappen.

 ÅPEN: Mobilapplikasjonen fra SAS er blitt populær, men en privat gransking avdekket store hull i sikkerheten for brukerne.
ÅPEN: Mobilapplikasjonen fra SAS er blitt populær, men en privat gransking avdekket store hull i sikkerheten for brukerne. Bilde: SAS
13. mai 2013 - 10:56

Den populære mobilapp-en fra SAS lagrer kreditt- og personopplysninger ukryptert på telefonen.

Det betyr risiko for at uvedkommende kopierer kredittkortet og stjeler penger.

Forholdene er avdekket av it-sikkerhetsselskapet Encripto.

Ålesundsbedriften har gjort det til en del av merkevarebyggingen å granske nettbaserte tjenester på eget initiativ.

Det er ikke første gang kritisk sikkerhetssvikt er avdekket på denne måten.

Flying start

Flyselskapet lanserte sin app 9. april i år og fikk det SAS selv betegner som en "flying start" med nærmere 100.000 nedlastinger de første to ukene.

Tjenesten åpner for å bestille fly, sjekke inn og velge sete med en smarttelefon eller brett.

Du kan betale reisen med kredittkort, der du kan lagre informasjon om opp til tre kort i app-en.

I tillegg kan du benytte bonuspoeng til oppgjøret. App-en lagrer derfor informasjon om Eurobonus-statusen din.

Les også: 102.000 nordmenn har vært utsatt for ID-tyveri

Kode til ingen nytte

For å sikre brukernes informasjon, sørger SAS for en personlig sikkerhetskode for mobilappen.

– Problemet var at mobilappen lagret en historikk hvor kreditt- og personopplysninger ble lagret uten kryptering. Det spilte dermed ingen rolle at du trengte en kode for å logge inn i appen, når all informasjon kunne hentes ut i klartekst fra minnet til mobilen, sier daglig leder Juan J. Güelfo hos Encripto.

Les også: – Industri og infrastruktur er enkle mål for cyberkriminelle

AVDEKKET: Juan J. Güelfo hos it-sikkerhetsselskapet Encripto avdekket usikret sensitiv informasjon i SAS-appen for IOS.
AVDEKKET: Juan J. Güelfo hos it-sikkerhetsselskapet Encripto avdekket usikret sensitiv informasjon i SAS-appen for IOS.

Sårbarhetene

Han benyttet sin egen bonusprofil hos SAS og egen mobil til sine undersøkelser.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Trer frem med omstilling som innstilling
Trer frem med omstilling som innstilling

Her fant han også at både personopplysninger, kredittkortnummer, utløpsdato og CVC-nummer lå lett tilgjengelig.

Sårbarhetene kunne lett utnyttes i et trådløst nettverk, som for eksempel det offentlige nettverket på flyplassen.

Mobilappen gir nye brukere muligheten til å registrere seg. Appen vil da kreve personlig informasjon som epostadresse, brukernavn, passord, telefonnummer, fornavn, etternavn, fødselsdag, kjønn og adresse.

– Når en ny bruker registrerte seg, ble informasjonen sendt ukryptert til serveren. Dette gjorde at informasjonen lett kunne fanges opp og leses i klartekst, påpeker Encripto-sjefen.

Eksperten svarer: 5 spørsmål om IT-sikkerhet

KLARTEKST: Her er et utdrag fra rapporten som viser hvor hvordan blant annet kredittkortinformasjon lagres i klartekst.
KLARTEKST: Her er et utdrag fra rapporten som viser hvor hvordan blant annet kredittkortinformasjon lagres i klartekst.

Man in the middle

Undersøkelsen avdekket også at SAS-appen var sårbar for ”Man-in-the-middle”-angrep ved innlogging.

Denne teknikken gir angriperen mulighet til å lese, redigere og modifisere datatrafikken mellom kundens mobilapp og SAS' server uten at noen av partene er klar over at det foregår.

– I praksis kunne dette angrepet brukes til å stjele brukernavnet og passordet ditt. En angriper kunne deretter bruke innloggingsinformasjonen din til å logge seg på SAS-appen fra en annen telefon, sier Güelfo.

Han mener at slike sikkerhetsproblemer er grunnleggende og typisk for mobile applikasjoner.

– Trenden er at fokus på funksjonalitet er større enn på sikkerhet, og at applikasjonene gjerne blir publisert uten tilstrekkelig testing, sier Encripto-sjefen til Teknisk Ukeblad.

Ikke avdekket alt

Hans gransking er gjort med iOS-versjonen, altså for telefoner og brett fra Apple.

Encripto kan ikke utelukke at de samme problemene, og flere problemer, er å finne i andre versjoner av appen.

Encripto varslet SAS om funnene før de ble offentliggjort.

Sikkerhetshullene er tettet i en ny versjon som ble tilgjengelig 8. mai.

Uvisst om Android

Hos SAS sier kommunikasjonsrådgiver Tormod Sandstø at selskapet har høy fokus på it-sikkerhet.

– Derfor setter vi pris på å bli gjort oppmerksomme på slike feil, sier han i en kommentar til Teknisk Ukeblad.

Han understreker at selskapet har lang erfaring med bruk av digitale plattformer og mener at SAS har gode rutiner på it-sikkerhet.

– Og det er ikke uvanlig at det dukker opp feil når man kommer i gang med en ny løsning, og at slike oppdateres etter hvert.

– Så hva er gjort for å sjekke om sikkerhetsproblemene også gjelder Android-versjonen av app-en?

– Godt spørsmål. Det må jeg sjekke, svarer Sandstø.

Noen timer senere har Sandstø sjekket og får bekreftet at sikkerhetsforbedringene er gjort i selve back end-systemet.

Det vil si at også Android-versjonen er korrigert.

Les også:

IT-kriminelle stjal 260 millioner fra bankkontoer

BankID vil kvitte seg med Java

Snart skal du kunne programmere selv  

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.