Bankdroid - v1.9.6.4

På vilket sätt är appen ett hack? Den hämtar exakt samma information, på exakt samma sätt genom parsad inloggningsinfo som bankernas egna appar/webbsidor. Om du tycker att det är" ett hack" så finns det en jädrans massa hack på detta område. Se bara på floran av budgeteringstjänster som dykt upp på webben.

Och där har vi nästa invändning: Jag skulle anta att lösenord som sniffas i realtid, klartext på datorer skulle vara ett större problem om det var ett problem att folk får tag på andras enkla loginkoder (inte minst dessa webbsidor för budgetar). Men jag har svårt att se det som ett problem. Har aldrig hört talats om att någon råkat ut för något pga detta. Har du?

Det är precis som när folk är rädda för att deras Facebook ska "hackas" av någon illvillig, hemlig organisation: Vem i helvete är intresserad av vad Agda Andersson i Anderstorp gör på Facebook? De som möjligen är intresserade finns i Agdas närhet, och då finns det betydligt enklare sätt än att dekryptera lösenord från Facebooks androidapp. Troligen kan dessutom inte de intresserade något sätt alls annat än att titta över axeln.

Men visst kan säkerhet alltid höjas. Om du nu gluttat i koden så pass mycket, varför inte hjälpa till och göra den bättre?

Obfusker?

Written by my thumbs on a state-of-the-art Nokia 3110! now Free

 

Du tror på riktigt att bankernas egna appar/webbsidor gör på samma sätt? Uppenbarligen har du ingen koll på hur saker funkar. Självklart använder deras egna tjänster ett riktigt API som de kan lita på. Det finns dock inget publikt sådant (av förklarliga skäl) så den approach som den här appen använder är istället att gå in på lämpliga siter och försöka parsa informationen för att få fram det man vill få fram. För att använda Swedbank som exempel (mest för att det är den bank jag använder) så går appen in på login-sidan, där den bland annat väljer att POSTa användarnamnet i "xyz"-fältet. Att det här funkar finns det absolut ingen garanti för och Swedbank kan ändra det vilken dag som helst. Om en app förlitar sig på hur någon annans tjänst funkar idag utan att använda sig av något som det finns stöd för kallar i alla fall jag det för ett hack.

Självklart finns det fler hack ute i världen och jag hävdar inte att jag aldrig skrivit något som kan räknas som ett hack, men när jag gör det är jag i alla fall ärlig med att det är ett hack. Nu vet jag förstås inte om du skrivit något på den här appen, men jag hoppas att du inte gjort det eftersom du verkar tro att bankernas appar funkar likadant.

Nej, men det har ingenting med saken att göra. Det går inte att skydda sig mot i design av app/webtjänst.

Jag tyckte jag var väldigt tydlig med att det såklart är upp till var och en att bedöma hur farligt det är att det är möjligt att någon skulle kunna ta reda på ens lösenord. Mitt inlägg handlade om att bristerna finns, inte att det är jättefarligt att de finns. Det är upp till var och en att bedöma om det är värt det. Läs mitt andra och sista stycke i förra inlägget igen. Att dekryptera lösenorden från Facebooks app är för övrigt bra mycket svårare än att göra det från Bankdroid.

För att jag inte bryr mig? Jag använder inte appen, jag är inte intresserad av att använda appen, jag kan inte tjäna pengar på att utveckla appen. Varför skulle jag vilja förbättra den? Jag var intresserad dels av hur den fick informationen eftersom det såvitt jag visste inte finns något API för att få sådan information (vilket det visade sig att det inte gör heller) och även av säkerheten, eftersom jag vet att många är intresserade av säkerheten i en sådan här app. Se bara första sidan i den här tråden, det började pratas om säkerhet rätt tidigt. Den största säkerhetsbristen med den här appen är dock att den är open source, vilket ju inte skulle ändras ens om jag brydde mig om att försöka förbättra den.

Vet inte vad du menar nu, men menar du att Play Store-varianten kör en obfuskerad variant av appen så är det förstås möjligt att den gör det. Det betyder dock inte så mycket, det blir snäppet svårare att få fram de detaljer man vill, men hela poängen är ju att den ska fungera likadant och vi vet ju hur den funkar eftersom koden är öppet tillgänglig. Använder den sig av någon vanligt förekommande obfuskerare brukar det dessutom inte vara alltför svårt att "avobfuskera".

 

Avanza, Avanza mini och ICA Banken funkar bra i RC2.

Skickat med Tapatalk 4

 

Länsförsäkringar, Nordea och CSN funkar i RC2

Skickat från min GT-I9300 med Tapatalk now Free

 

Nej, men Bankdroid använder sig (i de flesta fall) av bankernas mobilsida. Bankdroid gör alltså exakt samma sak som mobilens webbläsare. I stort sett alla webbläsare i mobilen har stöd för att "komma ihåg lösenordet". Många webbläsare synkar dessutom den informationen via molnet till andra enheter.

Det är med andra ord inte värre att använda Bankdroid än att låta webbläsaren "komma ihåg lösenordet" för bankens mobilsida.


Och att säkerheten skulle bli sämre av att appen är Open Source? Herregud, vilken sten har du krupit fram under?

 

Senaste versionen verkar inte alls funka bra.

Varje gång jag ska ha ut en saldouppdatering måste jag in i inställningar och skriva in PIN-kod, sedan verkar den inte spara pin-koden och jag får sånt rött utropstecken och behöver skriva in den igen.


Trist

 

Kör du cyanogenmod eller en cyanogenbaserad rom? Jag och några till har haft samma problem, en uppdatering av romen löste problemet.

 

Nja, men liknande, kör PA 3.99

 

Nja, Bankdroid gör inte exakt samma sak som en webbläsare, det finns några viktiga skillnader. Till att börja med är det hårdkodat hur sidorna ska fungera så skulle de ändras skulle appen sluta fungera (det är av den anledningen jag kallar appen ett hack). Fast om man ska prata säkerhet är den viktigaste skillnaden att appen inte bara vet vilken text som är lösenordet utan dessutom sparar det.

Nu kommer förstås du med din "I stort sett alla webbläsare i mobilen har stöd för att "komma ihåg lösenordet"". Det stämmer visserligen, men de kan inte komma ihåg vilket lösenord som helst. Nu är Swedbank den enda bank jag kan testa med, men de har ju sett till att lösenordet inte går att spara i webbläsaren. Och alla seriösa banker bör ha gjort samma sak. Det är helt enkelt inte säkert att spara lösenord och det är en rätt dum funktion som skapare av webbläsare lagt till. Av samma anledning funkar det inte heller att låta Swedbank-appen komma ihåg lösenordet, man måste skriva in det varje gång.

Lite offtopic nu kanske, men vill ni hålla lösenord hemliga så spara de ALDRIG i en webbläsare. Desktop-versionen av både Chrome och Firefox räcker det med att gå in i inställningar och klicka sig fram till de sparade lösenorden för att se alla lösenord i klartext. Mobilvarianten av Chrome (Beta) och desktop-varianten av Internet Explorer lyckades jag inte hitta motsvarande funktion för, men lagringen är säkert inte särskilt säker i de fallen heller.

Är du på riktigt? Vet man exakt hur ett program funkar är det självklart lättare att hitta hål som man kan utnyttja. Ju mer man vet desto lättare att utnyttja brister. Och självklart vet man mer om hur ett program funkar om man kan läsa källkoden... Jag var onödigt hård mot Snah tidigare och det ber jag om ursäkt för, men du vet ju verkligen inte vad du pratar om...

 

Du borde ta och läsa på lite om "security by obscurity" kanske.

 

Du menar "security through obscurity", som innebär att man kan uppnå en viss säkerhet genom att hålla den bakomliggande metoden hemlig? Det som de flesta (även jag) är överens om är ett dåligt sätt att designa ett program utifrån? Det som de flesta (även jag) är överens om att man med fördel använder som ett av de redundanta systemen i ett "defense in depth"-system? Var det vad du menade? För i så fall ser jag inte varför jag skulle läsa på om det... Wikipedia-artikeln "Security through transparency" som redirectar till Kerckchoffs' princip, som i princip kan sägas vara motsatsen till "security through obscurity" innehåller en hel del text som i princip säger att det är bra att hålla saker hemligt. Eller vad sägs om...

Eller min favorit, ett citat från Steve Bellovin:

Eller om du har problem med engelska: designa systemet som om alla vet exakt allt om det (utom nyckeln) men berätta inte för någon hur det funkar.

Fast jag kanske missuppfattar, du kanske menar något annat med "security by obscurity". I så fall tar jag gärna och läser på lite om det, om du kommer med någon vettig länk.

Det misstag många gör är att tro att bara för att krypteringsalgoritmen man använder är "säker" blir programmet säkert. Skulle jag få för mig att "knäcka" Bankdroid skulle jag inte gå på AES-128 utan jag skulle ge mig på programmet. Eftersom nyckeln ju faktiskt är lagrad i själva programmet försvinner all säkerhet som AES-128 ger och den enda riktiga säkerheten i appen är ju "security through obscurity", fast försvagad sådan eftersom appen är open source. Hade användaren själv fått mata in krypteringsnyckeln varje gång hen vill komma åt lösenorden hade jag kunnat hålla med om att det inte är nödvändigt att koden är hemlig, men då skulle ju även poängen med att lagra lösenorden lite försvinna.

 

Tillåt mig att småle. Som jag sa: "Den hämtar exakt samma information, på exakt samma sätt genom parsad inloggningsinfo som bankernas egna appar/webbsidor." Bankdroid inte bara försöker parsa, utan gör det.

Om du
a) hade använt appen och
b) hade läst mer än första sidan i tråden hade du vetat att när bankerna ändrar så ändras följaktligen Bankdroids kod för att använda banken
Då hade du dessutom vetat att ditt bludder om "garanti för att det här funkar" var just bludder.

Vi har olika syn på betydelsen av ordet "hack", men det har ju inte någon vidare klar defintion.

Jo, jag läste och förstod vad du skrev i ditt första inlägg. Du upprepar ännu en gång samma sak, och jag upprepar därför kontentan i vad jag skrev: Du varnar för något som inte är ett stort problem. Allt kan bli bättre, men fakta kvarstår: Det är inget stort problem.

Så kommer vi till ett komiskt klimax i ditt svar: "För att jag inte bryr mig? Jag använder inte appen, jag är inte intresserad av att använda appen, jag kan inte tjäna pengar på att utveckla appen. Varför skulle jag vilja förbättra den?" (...) "Se bara första sidan i den här tråden, det började pratas om säkerhet rätt tidigt. Den största säkerhetsbristen med den här appen är dock att den är open source, vilket ju inte skulle ändras ens om jag brydde mig om att försöka förbättra den." Så varför inte skriva ner dina tankar mer som ett förslag till liato, som är upphovsman, och till det fåtal andra som tillför saker i koden då och då? Nu kritiserar du bara, är inte konstruktiv. Inte för att vara taskig, men det är en tämligen usel metod. Har du läst mer än första sidan? Naturligtvis har det pratats om säkerhet. Det faller sig naturligt. Open source säkerhetsbrist?! Ojoj, du har inte riktigt koll på säkerhetsaspekter och hur dessa bedöms utifrån open source och dess motsats av majoriteten användare. Om Bankdroid inte varit open source hade troligen färre använt den.

Du skrev i ditt första inlägg den oavslutade meningen "Beroende på om appen obfusker". Jag fann det något svårt att förstå vad du menade.

I övrigt ber jag att få tacka för din smått patroniserande ton. Det piggar alltid upp på nattkvisten! Det gör säkert också att dina inlägg blir uppskattade.

 

Mein Gott! Du lägger massor av tid på att försvara din benhårda syn att Bankdroid är osäkert medan du i själva verket inte bryr dig om appen. Orsaken att du inte bryr dig är "Jag använder inte appen, jag är inte intresserad av att använda appen, jag kan inte tjäna pengar på att utveckla appen. Varför skulle jag vilja förbättra den?"

Varför inte istället för att lägga tid på att skriva långa inlägg, trots att du inte bryr dig, föreslå konkreta kodförbättringar?

 

Mata inte trollen. Nu lägger vi ner diskussionen.

~ Sent from my Nexus 4 using Tapatalk 4 ~

 

Ja, appen ändras när/om bankerna ändras. Men inte automatiskt, det krävs att någon utvecklare fixar det. Vilket säkert händer eftersom det fortfarande finns ett gäng personer som tar hand om den. Men enligt mig ska ett program inte behöva uppdateras av den anledningen och om det krävs är det ett hack. Fast något som är ett hack kan förstås funka också.

Open source-grejen kan jag medge var klumpigt uttryckt. Ett eventuellt bättre sätt att säga det är: Eftersom appen klarar av att kryptera/dekryptera automatiskt betyder det att lösenordet är lagrat i (Dalvik-)koden till själva appen. Det är själva "säkerhetsbristen". Att den är open source innebär bara att det är lättare att hitta det ställe där lösenordet lagras. Det vill säga den enda säkerhet som finns idag är "security through obscurity" men det faktum att den är open source gör att "obscurity" minskar och därmed även säkerheten. Argumentet "open source gör att fler kan uppmärksamma och fixa eventuella säkerhetsbrister" håller inte i det här fallet, för såvitt jag vet går det inte att fixa den grundläggande säkerhetsbristen att nyckeln lagras i programmet.

Jag ber om ursäkt för den ofullständiga meningen och förstår att du inte förstod den. Jag hade väl tänkt skriva något om att beroende om appen obfuskeras eller inte blir det lättare/svårare att lista ut nyckeln, men sedan tyckte jag att jag redan skrivit tillräckligt långt och bestämde mig för att inte skriva det. Uppenbarligen glömde jag ta bort saker.

Jag antar att ditt sista stycke var ironiskt, men det vore trevligt om du tyckte så. Själv tycker jag att min ton var oerhört olämplig och har egentligen inga ursäkter för det. Jag blev frustrerad av ditt svar eftersom jag fick känslan att du tyckte jag var en idiot så jag "hämnades". Men det är inte okej, jag ber om ursäkt.

Jag har ingen konkret kodförbättring av skäl som jag förklarat ovan. Jag bryr mig om säkerhet rent generellt och vill att folk ska ha någon grundläggande syn på hur säkra saker är så man kan göra medvetna beslut. Men jag har inget intresse av att förbättra Bankdroid. Skulle mina resonemang leda till att någon kommer på ett sätt att förbättra säkerheten så är det ju förstås bra, men det jag vill är främst att folk ska förstå hur säker/osäker appen är.

Jag vet att du är administratör så jag bör väl lyda dig, men jag måste faktiskt säga att du har fel. Diskussionen i sig är definitivt relevant för tråden och jag har kommit med en hel del argument för min åsikt. Mina "motståndare" har också kommit med en del argument som är relevanta för diskussionen. Båda sidor, men kanske framför allt jag, har kanske varit lite väl hårda och skrivit saker som kan räknas som personangrepp. Jag ber om ursäkt för det och ska försöka hålla mig på en bättre nivå i framtiden och jag är rätt säker på att varken Snah eller Nerre vill mig något illa, de håller bara inte med. Det känns bättre att säga till oss (eller mig) att hålla oss på en bättre nivå än att säga åt oss att lägga ner diskussionen. För själva diskussionen är väl relevant för ämnet?

 

Själv är jag mest nyfiken på

När V.2 av Bankdroid kommer ut... *Förväntansfull*

 

Kommer dröja ett tag, går väldigt långsamt :\

 

Det misstag du verkar göra är att du tror att en app blir säkrare för att källkoden är hemlig.

Varför skulle det annars vara ett problem att Bankdroid är Open Source? Hela Android är ju Open Source...

 

Då har du missuppfattat mig. Vilket är förståeligt med tanke på att jag kan ha uttryckt mig otydligt i tidigare inlägg. Jag tycker att jag förklarade vad jag menar hyfsat bra i förra inlägget men jag gör ett försök till (med risk för att upprepa mig). Om du fortfarande inte förstår vad jag menar så berätta vad du inte förstår. Om du fortfarande inte håller med mig så kom med argument till varför jag har fel. Annars kommer det här aldrig leda någonstans.

Det jag menar är att en app inte kan bli mindre säker av att källkoden är hemlig. Det är förstås öppet för diskussion. Med en statisk syn på programmet (det kommer aldrig ändras) stämmer det, men om man har en mer verklighetstrogen bild av program, där de kan uppdateras, kan man argumentera för att öppen källkod gör att det blir lättare att hitta och fixa eventuella säkerhetsbrister eftersom fler kan läsa koden och att det därför skulle bli säkrare. Vad man har för åsikt här spelar dock ingen större roll i Bankdroid-fallet, vilket jag hoppas tydliggörs i resten av inlägget.

Även om man hävdar att en app inte kan bli mindre säker av att källkoden är hemlig gäller det att en app inte nödvändigtvis blir säkrare för att källkoden är hemlig. Det finns exempel på metoder som ingen i dagsläget vet något sätt att knäcka även om man får all information utom nyckeln (t.ex. PGP (ironiskt nog förkortning för Pretty Good Privacy)). Skulle man använda sig av en sådan metod spelar det såvitt vi vet idag ingen roll om källkoden är öppen eller stängd.

Ovanstående är bara en allmän diskussion om säkerheten i open source vs hemlig kod och har ingenting med Bankdroid att göra men möter ditt argument om att Android är open source (vilket visserligen går att diskutera) och därför av någon anledning skulle vara osäkert. Om vi ska gå till Bankdroid istället är det största "säkerhetsproblemet" i designen.

Bankdroid lagrar lösenorden, så då är det ju bara att titta där det lagras så får man reda på lösenordet. "Men de är ju krypterade". Ja, det var ju ett problem. Men Bankdroid lagrar även krypteringsnyckeln och eftersom krypteringsmetoden är känd är det tämligen enkelt (förutsett att man hittar nyckeln) att dekryptera lösenorden.

Ovanstående problem med säkerheten gäller oavsett om Bankdroid skulle ha öppen eller stängd källkod. Men skulle källkoden inte vara öppen skulle säkerheten höjas något. Säkerheten skulle fortfarande vara låg, men något bättre i alla fall. Och vill man att appen ska fungera som den gör nu och automatiskt uppdatera informationen utan att användaren behöver mata in lösenord ser jag ingen annan design som skulle kunna uppnå högre säkerhet. Kanske går det att lösa på något sätt, men jag vet inte om något sådant och Bankdroid använder sig i alla fall inte av det. Det bästa sättet att höja säkerheten som jag kan komma på är att inte avslöja källkoden. Det är inte ett bra sätt, men det är det bästa jag kan komma på. Mitt tidigare påstående om open source var som ett svar på att någon tyckte jag skulle gå in och hjälpa till att förbättra säkerheten, men eftersom enda sättet jag kan komma på är att hemlighålla källkoden kan jag ju inte göra några sådana förbättringar.

Som vanligt när jag skriver något har jag ju redan skrivit alldeles för långt (jag är inte så bra på att hålla mig kort) men tänkte att jag dessutom skulle komma med en liknelse som kanske hjälper dig att förstå vad jag menar om du inte gjort det än.

Bankdroid är som en (inte alltför stor) tomt som bara består av en gräsmatta och ett kassaskåp. Kassaskåpet är av hög kvalitet och det finns inget känt sätt att bryta sig in i det. Bankdroid får tillgång till en del hemlig information och väljer därför att lagra det i kassaskåpet. Sedan grävs nyckeln ner någonstans i gräsmattan. Det enda en tjuv behöver göra är alltså att gräva upp gräsmattan och försöka hitta nyckeln för att sedan öppna kassaskåpet. Att ha öppen källkod är som att ge tjuven en karta över var nyckeln är gömd, medan hemlig källkod inte ger tjuven kartan. I båda fallen kan förstås tjuven stjäla informationen på ett relativt enkelt sätt, men i det förstnämnda fallet kommer det förmodligen gå snabbare och därför kan säkerheten anses vara lägre.

Sedan vill jag återigen förtydliga att jag med detta inte menar att folk inte borde installera och använda Bankdroid. Det är upp till var och en att bedöma hur hög säkerhet man kräver för ett lösenord som typ bara ger tillgång till en lista över ens inköp och möjlighet att flytta mellan egna konton. Det enda jag försöker beskriva är hur hög/låg säkerheten är för att man ska kunna ta ett informerat beslut.

Om du fortfarande inte håller med mig, vilket du förstås inte behöver göra, skulle jag gärna vilja se någon form av argument för varför jag har fel.

 

Sa det kommer komma en V2? Trevligt!

Jag trodde du hade overgett denna appen nar man inte hade hort av dig pa lange.