ÅPEN: Mobilapplikasjonen fra SAS er blitt populær, men en privat gransking avdekket store hull i sikkerheten for brukerne. (Bilde: SAS)

IT-sikkerhet

SAS lagret ukryptert kredittkortinfo

Informasjonen kunne enkelt hentes ut av mobilappen.

Den populære mobilapp-en fra SAS lagrer kreditt- og personopplysninger ukryptert på telefonen.

Det betyr risiko for at uvedkommende kopierer kredittkortet og stjeler penger.

Forholdene er avdekket av it-sikkerhetsselskapet Encripto.

Ålesundsbedriften har gjort det til en del av merkevarebyggingen å granske nettbaserte tjenester på eget initiativ.

Det er ikke første gang kritisk sikkerhetssvikt er avdekket på denne måten.

Flying start

Flyselskapet lanserte sin app 9. april i år og fikk det SAS selv betegner som en "flying start" med nærmere 100.000 nedlastinger de første to ukene.

Tjenesten åpner for å bestille fly, sjekke inn og velge sete med en smarttelefon eller brett.

Du kan betale reisen med kredittkort, der du kan lagre informasjon om opp til tre kort i app-en.

I tillegg kan du benytte bonuspoeng til oppgjøret. App-en lagrer derfor informasjon om Eurobonus-statusen din.

Les også: 102.000 nordmenn har vært utsatt for ID-tyveri

Kode til ingen nytte

For å sikre brukernes informasjon, sørger SAS for en personlig sikkerhetskode for mobilappen.

– Problemet var at mobilappen lagret en historikk hvor kreditt- og personopplysninger ble lagret uten kryptering. Det spilte dermed ingen rolle at du trengte en kode for å logge inn i appen, når all informasjon kunne hentes ut i klartekst fra minnet til mobilen, sier daglig leder Juan J. Güelfo hos Encripto.

Les også: – Industri og infrastruktur er enkle mål for cyberkriminelle

AVDEKKET: Juan J. Güelfo hos it-sikkerhetsselskapet Encripto avdekket usikret sensitiv informasjon i SAS-appen for IOS. Encripto

Sårbarhetene

Han benyttet sin egen bonusprofil hos SAS og egen mobil til sine undersøkelser.

Her fant han også at både personopplysninger, kredittkortnummer, utløpsdato og CVC-nummer lå lett tilgjengelig.

Sårbarhetene kunne lett utnyttes i et trådløst nettverk, som for eksempel det offentlige nettverket på flyplassen.

Mobilappen gir nye brukere muligheten til å registrere seg. Appen vil da kreve personlig informasjon som epostadresse, brukernavn, passord, telefonnummer, fornavn, etternavn, fødselsdag, kjønn og adresse.

– Når en ny bruker registrerte seg, ble informasjonen sendt ukryptert til serveren. Dette gjorde at informasjonen lett kunne fanges opp og leses i klartekst, påpeker Encripto-sjefen.

Eksperten svarer: 5 spørsmål om IT-sikkerhet

KLARTEKST: Her er et utdrag fra rapporten som viser hvor hvordan blant annet kredittkortinformasjon lagres i klartekst. Skjerm

Man in the middle

Undersøkelsen avdekket også at SAS-appen var sårbar for ”Man-in-the-middle”-angrep ved innlogging.

Denne teknikken gir angriperen mulighet til å lese, redigere og modifisere datatrafikken mellom kundens mobilapp og SAS' server uten at noen av partene er klar over at det foregår.

– I praksis kunne dette angrepet brukes til å stjele brukernavnet og passordet ditt. En angriper kunne deretter bruke innloggingsinformasjonen din til å logge seg på SAS-appen fra en annen telefon, sier Güelfo.

Han mener at slike sikkerhetsproblemer er grunnleggende og typisk for mobile applikasjoner.

– Trenden er at fokus på funksjonalitet er større enn på sikkerhet, og at applikasjonene gjerne blir publisert uten tilstrekkelig testing, sier Encripto-sjefen til Teknisk Ukeblad.

Ikke avdekket alt

Hans gransking er gjort med iOS-versjonen, altså for telefoner og brett fra Apple.

Encripto kan ikke utelukke at de samme problemene, og flere problemer, er å finne i andre versjoner av appen.

Encripto varslet SAS om funnene før de ble offentliggjort.

Sikkerhetshullene er tettet i en ny versjon som ble tilgjengelig 8. mai.

Uvisst om Android

Hos SAS sier kommunikasjonsrådgiver Tormod Sandstø at selskapet har høy fokus på it-sikkerhet.

– Derfor setter vi pris på å bli gjort oppmerksomme på slike feil, sier han i en kommentar til Teknisk Ukeblad.

Han understreker at selskapet har lang erfaring med bruk av digitale plattformer og mener at SAS har gode rutiner på it-sikkerhet.

– Og det er ikke uvanlig at det dukker opp feil når man kommer i gang med en ny løsning, og at slike oppdateres etter hvert.

– Så hva er gjort for å sjekke om sikkerhetsproblemene også gjelder Android-versjonen av app-en?

– Godt spørsmål. Det må jeg sjekke, svarer Sandstø.

Noen timer senere har Sandstø sjekket og får bekreftet at sikkerhetsforbedringene er gjort i selve back end-systemet.

Det vil si at også Android-versjonen er korrigert.

Les også:

IT-kriminelle stjal 260 millioner fra bankkontoer

BankID vil kvitte seg med Java

Snart skal du kunne programmere selv