Sikkerhedsprodukt advarer om 'risk of access hijacking' og 'critical code error' i MobilePay

Illustration: pressefoto
Trend Micros sikkerhedsprodukt til mobiltelefoner advarer om flere problemer med MobilePay.

Et sikkerhedsprodukt til mobiltelefoner fra Trend Micro advarer om flere problemer med den populære betalingsapp MobilePay, som Danske Bank oprindeligt står bag. Appen ligger nu i regi af MobilePay A/S.

Ifølge et screenshot fra en mobiltelefon med sikkerheds-app'en, som Version2 har fået tilsendt fra Morten Sørensen, der til dagligt arbejder med it-sikkerhed, så bliver det problematiseret, at MobilePay kan tilgå kontaktlisten på telefonen. Brugeren får også en advarsel om 'risk of access hijacking'.

»Angribere kan udnytte en sårbarhed i app'en (MobilePay, red.) til at foretage uautoriserede handlinger eller gøre noget ondsindet via andre apps,« står der i beskrivelsen af risk of access hijacking.

Brugeren bliver også advaret om en 'critical code error'. Her lyder beskrivelsen:

»Malwaren kan bruge denne fejl til at angribe din app.«

På Facebook

På Facebook har Morten Sørensen i slutningen af maj måned gjort Danske Bank/MobilePay A/S opmærksom på advarslerne.

Først efter Version2 har rettet henvendelse til Danske Bank om sikkerhedsadvarslerne, er banken vendt tilbage med en længere udredning på Facebook via den officielle MobilePay-profil.

Først og fremmest bliver det - ikke helt overraskende - slået fast af 'den officielle MobilePay-bruger', at appen er 'en sikker og tryg betalingsløsning'.

»Vi har talt med Trend Micro og kan se, at andre bank-apps i deres verden ikke desto mindre kategoriseres som sårbare på et eller flere punkter. Vi vil nu grundigt gennemteste og evaluere de check points, som Trend Micro har anbefalet os at kigge på, herunder at de ikke mener, en finansiel app bør tilgå brugernes kontaktliste. Det er imidlertid selve kernen i MobilePays løsning, så umiddelbart har vi svært ved at se, at vi skulle kunne undgå det,« står der videre i det officielle svar.

I første omgang adresserer banken konkret, at MobilePays adgang til kontaktlister bliver fremstillet som et privacy-problem i Trend Micros app. Morten Sørensen vil dog i tråden også gerne have svar på, hvad der kan ligge bag advarslerne om 'critical code error' og 'risk of access hijacking'.

Til det lyder svaret fra MobilePay-brugeren på Facebook:

»Som tidligere nævnt vil vi gennemteste de punkter, som Trend Micro mener udgør en risiko. Brugen af MobilePay har vist sig at være en yderst sikker løsning i praksis – hvilket vi naturligvis ønsker skal fortsætte. Derfor tager vi ikke let på eventuelle brister, og vil gøre alt, hvad vi kan for at kunne tilbyde den mest sikre og brugervenlige løsning til vores brugere :).«

Version2 har været i kontakt med Danske Banks presseafdeling. Banken er dog ikke vendt tilbage med flere konkrete oplysninger, end der hvad der allerede fremgår af tråden på Facebook.

Som bekendt er falske positiver en ting, også hvad angår sikkerhedssoftware.

Version2 har i den forbindelse forsøgt at få en kommentar til advarslerne fra Trend Micro - blandt andet for at opklare, om advarslerne eventuelt skyldes en fejl. Trend Micro er ikke vendt tilbage inden deadline. Vi vender til gengæld tilbage, skulle der være noget spændende nyt at fortælle desangående.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Frandsen

Er det ikke lidt nemt bare at sige "Attackers can exploit a vulnerability within the app..." uden at uddybe hvilken der er tale om? Det statement er jo i så fald sandt for enhver app der findes, at såfremt der er en sårbarhed så kan den udnyttes?

Derudover ville jeg da være ked af hvis Mobilepay ikke skulle have adgang til mine kontakter. Ville da gøre det unødvendigt besværlig at sende dem penge hvis jeg skulle til at huske deres telefonnummer:S

Henning Wangerin

som Trend Micro har anbefalet os at kigge på, herunder at de ikke mener, en finansiel app bør tilgå brugernes kontaktliste.

Hvorfor er det kun et problem i finansielle app? Helt generelt har jeg et problem med at masser af apps skal have adgang til meget mere end der giver mening.

Forleden manglede jeg en lommelygte-app. Jeg tror jeg skulle igennem knap ti apps før der dukkede en op som hverken skulle have adgang til kontakter, internet, og alt muligt andet fuldstændigt irrelevante rettigheder.
Er det bedre at en lommelygte vil ha adgang til både kontakter og internetadgang, end at mobilepay har den adgang?
Mobilepay har da en funktionsmæssig fornuftig grund til at skulle have adgangen.

/Henning

Morten Sørensen

Det var mig der kontaktede Version2 om denne sag oprindeligt, men jeg synes at jeg gjorde det tydeligt at deres adgang til kontaktliste var ganske at forvente.
Det er meget normalt at diverse sikkerhedsapps melder om hvem der har adgang til kontaktliste, men det er også muligt at whiteliste dem.
Min bekymring er potentielle sikkerhedshuller i en app som MobilePay.
Det er også ganske fornuftigt at Trend giver dem generelle betegnelser i stedet for at afsløre detaljer om hvordan det kan misbruges...

Lad os fokusere på evt sikkerhedshuller og det faktum at jeg informerede dem 29/5 uden den store information retur.

Jeg har fået mange flotte beskeder om hvor seriøst de tager sikkerhed og om hvor genial og sikker deres app er, men ingen reel status på sagen.

Jeg kontaktede dem på deres Facebok side, tænkte at det var en hurtig og nem vej i stedet for at åbne en support sag. Hele kommunikationen kan ses her
https://www.facebook.com/photo.php?fbid=10154846258316645&set=o.91035593...

Daniel Gertsen

Hvorfor er det kun et problem i finansielle app? Helt generelt har jeg et problem med at masser af apps skal have adgang til meget mere end der giver mening.


Jeg ser ingen steder at de skriver at det kun er et problem i finansielle apps. Det er ingen steder udelukket at det også kan være problematisk i andre typer apps.

Når det så er sagt, mener jeg at de bør overveje at whiteliste MobilePay på det punkt, eftersom det er en essentiel del af app'en i dette tilfælde.

Mogens Lysemose

Der er masser af apps der kræver helt indlysende urimelige tilladelser, så kan de helt lydløst udspionere alt i baggrunden til gengæld for at man får en gratis "lommelygte"-funktion el.lign.
Det generelle problem er kæmpestort, og at man overhovedet diskuterer det og anbefaler whitelisting er et symptom på at der generelt slet ikke er styr på App-sikkerhed; sikkerhedsmodellen hvor brugeren antages at forstå/acceptere alt første gang er tåbelig.
Man burde kunne sætte kryds i at man vil spørges hver gang - eller alternativt køre apps låst inde i en sandkasse (noget a la et chroot jail).

Men så bryder hele finansieringen af de "gratis" apps jo sammen...

Robert Winther

Jeg tror at alle der har bare lidt forstand og erfaring med MobilePay forstår hvorfor App'en skal have adgang til kontakter.

Trend Micro's advarsel om "Critical Code Error" er langt mere interessant: Hvad er det for en fejl Trend Micro ('s sikkerhedsprodukt) mener at have fundet?

Morten Sørensen

App'en er allerede købt og betalt.
Rent faktisk tilbyder de ikke sig selv som løsningen, men melder at jeg kan whiteliste eller afinstallere. De melder blot om et problem, som jeg så skal forholde mig til.
og nej det er ikke gratis at råbe ulv, hvis app'en er fyldt med falske advarsler, tror du så at jeg vil anbefale/købe den fremover?

Peter Stricker

Jeg forstår ikke de mange kommentarer om at MobilePay naturligvis skal have adgang til kontaktlisten.

Er det virkelig essentielt, at MobilePay har adgang til kontakter?

Jeg ville foretrække at MobilePay kunne bede systemet om kontaktinformationer uden, at MobilePay selv havde adgang til samtlige kontakter i telefonen.

MobilePay sender en forespørgsel på navn og telefonnummer til systemet og systemet returnerer så det navn og telefonnummer som brugeren har udvalgt.

MobilePay behøver ikke bekymre sig om, hvordan brugeren finder frem til navn og telefonnummer, for det er ikke essentielt for transaktionen. Navnet kan slås op i kontaktlisten, og systemet kan eventuelt filtrere de kontakter fra, hvor der ikke er angivet telefonnummer. Brugeren kan eventuelt vælge kun at få vist de kontakter, der har et bestemt tag, eksempelvis Dagligvarebutikker eller Bingoklubben. Brugeren kan eventuelt slå navn og telefonnummer op på de gule sider. Eller informationerne kan indtastes til den specifikke overførsel eller læses som QR Code eller.... Det rager ikke MobilePay hvor informationerne kommer fra.

Henrik Petersen

Efter at have læst anmeldelsen igennem på FB-siden, synes jeg egentlig, at MobilePay håndterer sagen OK.

Morten Sørensen har med en generisk AV app fået nogle generiske fejlmeldinger ud, som han rapporterer til MobilePay. De leverer faktisk løbende en tilbagemelding. At Morten Sørensen så synes, at han kan forlange at få en fyldestgørende status med andre detaljer er hans syn på sagen.

At han så eskalerer sagen til Version2 og Version2 bringer artiklen er for mig at se udtryk for en lidt kedelig tendens, hvor både medie og anmelder får opmærksomhed. Beklager, jeg synes altså ikke, der er substans nok i denne sag til denne hype.

Den energi er bedre brugt på andre og mere alvorlige sager. KMD-sagen er for mig at se et godt eksempel herpå. Den er yderst relevant og principiel i sin karakter.

Povl Hansen

Er det virkelig essentielt, at MobilePay har adgang til kontakter?

Ja

"MobilePay sender en forespørgsel på navn og telefonnummer til systemet og systemet returnerer så det navn og telefonnummer som brugeren har udvalgt."

Hvordan kan mobilpay sende en " forespørgsel på navn og telefonnummer til systemet " ?

Hele problemet er netop af du de sidste 5 år har brugt en mobil, og er vant til af bare vælge peter i kontaktlisten når du skal ringe til han, så du kender ikke peters telefonnummer, derfor kan mobilpay ikke sende en den omtalte forespørgsel den kan højst senden en forespørgsel på hvad er peters nummer, og hvis den kan få svar på den forespørgsel har de jo netop adgang til kontaktlisten

Poul-Henning Kamp Blogger

Derudover ville jeg da være ked af hvis Mobilepay ikke skulle have adgang til mine kontakter. Ville da gøre det unødvendigt besværlig at sende dem penge hvis jeg skulle til at huske deres telefonnummer

Det er så et godt eksempel på designfejlene i mobiltelefonernes sikkerhedsmodel: Der er himmelvid forskel på "Denne App må få adgang til kontakter jeg giver den" og "Denne App må få adgang til alle mine kontakter".

Tauno Suikkanen

Med en MS telefon har man yderligere det problem at MS kræver oplysning om hvor man handler og hvornår.

Jeg har spurgt både DanskeBank og MS om hvorfor. Lige nu tror jeg det er et krav fra MS og de (MS) er holdt op med at svare.

Har vi et samfund hvor firmaer som MS kan kræve vores privatlivs oplysninger, for at vi kan få lov at deltage i samfundet ? Eller er der en vej ud af det ?

Log ind eller Opret konto for at kommentere