Den populære mobilapp-en fra SAS lagrer kreditt- og personopplysninger ukryptert på telefonen.
Det betyr risiko for at uvedkommende kopierer kredittkortet og stjeler penger.
Forholdene er avdekket av it-sikkerhetsselskapet Encripto.
Ålesundsbedriften har gjort det til en del av merkevarebyggingen å granske nettbaserte tjenester på eget initiativ.
Det er ikke første gang kritisk sikkerhetssvikt er avdekket på denne måten.
Flying start
Flyselskapet lanserte sin app 9. april i år og fikk det SAS selv betegner som en "flying start" med nærmere 100.000 nedlastinger de første to ukene.
Tjenesten åpner for å bestille fly, sjekke inn og velge sete med en smarttelefon eller brett.
Du kan betale reisen med kredittkort, der du kan lagre informasjon om opp til tre kort i app-en.
I tillegg kan du benytte bonuspoeng til oppgjøret. App-en lagrer derfor informasjon om Eurobonus-statusen din.
Les også: 102.000 nordmenn har vært utsatt for ID-tyveri
![Innovasjon Norge](https://images.gfx.no/80x/2828/2828923/df17d6fe-c2a4-45b1-ada6-7cd31fc3c531.png)
![Ny eksportsatsing: En vitamininnsprøyting for norsk helsesektor](https://images.gfx.no/1000x333/2844/2844061/INNO_BioTech_1.267.1.jpg)
Kode til ingen nytte
For å sikre brukernes informasjon, sørger SAS for en personlig sikkerhetskode for mobilappen.
– Problemet var at mobilappen lagret en historikk hvor kreditt- og personopplysninger ble lagret uten kryptering. Det spilte dermed ingen rolle at du trengte en kode for å logge inn i appen, når all informasjon kunne hentes ut i klartekst fra minnet til mobilen, sier daglig leder Juan J. Güelfo hos Encripto.
Les også: – Industri og infrastruktur er enkle mål for cyberkriminelle
![AVDEKKET: Juan J. Güelfo hos it-sikkerhetsselskapet Encripto avdekket usikret sensitiv informasjon i SAS-appen for IOS.](https://images.gfx.no/580x/1810/1810890/1200017614.jpg)
Sårbarhetene
Han benyttet sin egen bonusprofil hos SAS og egen mobil til sine undersøkelser.
Her fant han også at både personopplysninger, kredittkortnummer, utløpsdato og CVC-nummer lå lett tilgjengelig.
Sårbarhetene kunne lett utnyttes i et trådløst nettverk, som for eksempel det offentlige nettverket på flyplassen.
Mobilappen gir nye brukere muligheten til å registrere seg. Appen vil da kreve personlig informasjon som epostadresse, brukernavn, passord, telefonnummer, fornavn, etternavn, fødselsdag, kjønn og adresse.
– Når en ny bruker registrerte seg, ble informasjonen sendt ukryptert til serveren. Dette gjorde at informasjonen lett kunne fanges opp og leses i klartekst, påpeker Encripto-sjefen.
Eksperten svarer: 5 spørsmål om IT-sikkerhet
![KLARTEKST: Her er et utdrag fra rapporten som viser hvor hvordan blant annet kredittkortinformasjon lagres i klartekst.](https://images.gfx.no/580x/1810/1810887/1200017615.jpg)
Man in the middle
Undersøkelsen avdekket også at SAS-appen var sårbar for ”Man-in-the-middle”-angrep ved innlogging.
Denne teknikken gir angriperen mulighet til å lese, redigere og modifisere datatrafikken mellom kundens mobilapp og SAS' server uten at noen av partene er klar over at det foregår.
– I praksis kunne dette angrepet brukes til å stjele brukernavnet og passordet ditt. En angriper kunne deretter bruke innloggingsinformasjonen din til å logge seg på SAS-appen fra en annen telefon, sier Güelfo.
Han mener at slike sikkerhetsproblemer er grunnleggende og typisk for mobile applikasjoner.
– Trenden er at fokus på funksjonalitet er større enn på sikkerhet, og at applikasjonene gjerne blir publisert uten tilstrekkelig testing, sier Encripto-sjefen til Teknisk Ukeblad.
Ikke avdekket alt
Hans gransking er gjort med iOS-versjonen, altså for telefoner og brett fra Apple.
Encripto kan ikke utelukke at de samme problemene, og flere problemer, er å finne i andre versjoner av appen.
Encripto varslet SAS om funnene før de ble offentliggjort.
Sikkerhetshullene er tettet i en ny versjon som ble tilgjengelig 8. mai.
Uvisst om Android
Hos SAS sier kommunikasjonsrådgiver Tormod Sandstø at selskapet har høy fokus på it-sikkerhet.
– Derfor setter vi pris på å bli gjort oppmerksomme på slike feil, sier han i en kommentar til Teknisk Ukeblad.
Han understreker at selskapet har lang erfaring med bruk av digitale plattformer og mener at SAS har gode rutiner på it-sikkerhet.
– Og det er ikke uvanlig at det dukker opp feil når man kommer i gang med en ny løsning, og at slike oppdateres etter hvert.
– Så hva er gjort for å sjekke om sikkerhetsproblemene også gjelder Android-versjonen av app-en?
– Godt spørsmål. Det må jeg sjekke, svarer Sandstø.
Noen timer senere har Sandstø sjekket og får bekreftet at sikkerhetsforbedringene er gjort i selve back end-systemet.
Det vil si at også Android-versjonen er korrigert.
Les også:
IT-kriminelle stjal 260 millioner fra bankkontoer