Bezpečnostní chyba v internetovém bankovnictví České spořitelny

Česká spořitelna v červenci rozšířila funkčnost svého internetového bankovnictví Servis 24 – Internetbanking. Vedle zavedení přeshraničního platebního styku v rámci zemí EU, avíza transakcí zahraničního platebního styku, možnosti zobrazení penzijního připojištění a dalších podpůrných funkcí významně zvýšila zabezpečení aplikace – zasíláním autorizačních SMS zpráv na mobilní telefon při zadání příkazu k úhradě, přesahujícího určitý limit.

Přestože banka prezentovala SMS zprávy jako hlavní bezpečnostní prvek, ukázaly se být vyřešeny nevhodným způsobem, který jejich význam naprosto stírá. Na problém nás upozornil Jaroslav Kvapil.

Zasílání SMS zpráv si klient nastaví přímo v aplikaci internetového bankovnictví. K tomu potřebuje znát nejen klientské číslo a heslo pro přístup do aplikace, ale také číslo smlouvy, které je dalším bezpečnostním prvkem. A zde je zakopaný pes.

Číslo smlouvy nalezne případný útočník či náhodný držitel přímo v internetovém bankovnictví. Zkuste si např. založit vkladový účet – již během prvního formuláře se číslo smlouvy objevuje jako část URL (!), a to jako „https://www.ser­vis24.cz/....­.userid=xxxxxxxx­“, kde samozřejmě namísto xxxxxxxx vidíte číslo smlouvy „napadeného“ účtu, prozradil Jaroslav Kvapil.

Stránek, kde je součástí adresy i číslo smlouvy, je spousta – např. již po přihlášení do IB S24 a rozkliknutí zůstatku sporožirového účtu je v URL vidět nejen číslo účtu, kód banky, kód měny (CZK), ale též „…contractid=xxxxxxxx­…“, kde je opět namísto xxxxxxxx skutečné číslo smlouvy! Např. https://www.servis24.cz/…4/dispatcher?… &cffvhidformid=deb_bi_g­et&accountnum­ber=xxxxxxxxx&ban­kcode=800 &accounttype=S&con­tractid=xxxxxxxx­&accountcurren­cy=CZK, dodává.

Jakýkoli útočník může změnit zasílání SMS zpráv při nadlimitním převodu na svůj vlastní mobilní telefon a převést z cizího účtu peníze, aniž by si toho jejich majitel všiml.

Chyby si je Česká spořitelna vědoma a komentuje ji slovy: Je třeba zdůraznit, že citovaná chyba nemůže sama o sobě nikterak ohrozit klienty ani jejich prostředky. K chybě může dojít jen u velmi malé části klientů s původní smlouvou, kde je „contract ID“ v URL identické s číslem smlouvy. U klientů s novým typem smluv ke službě Servis 24 Internetbanking, kterých je drtivá většina, je tento problém již ošetřen na jiné úrovni.

Počet uživatelů ohrožených chybou systému se nedozvíme. Otázkou je, za jak důvěryhodné můžeme mít tvrzení „k chybě může dojít jen u velmi malé části klientů“, když ve vyjádření k chybě uvádí: Česká spořitelna zatím nezavedla autorizační SMS do „ostrého“ provozu v rámci služby Servis 24 Internetbanking, ale pouze ověřuje funkčnost v tzv. pilotním provozu, kterého se účastní několik desítek klientů.

V této souvislosti si dovolím citovat z tiskové zprávy ze dne 14. 7. zaslané Českou spořitelnou: Hlavním bezpečnostním prvkem, který banka zavádí od 18. července 2005, je tzv. autorizační SMS. Osobně jsem zmaten…

Ohrožení bezpečnosti?

Jedná o závažnou bezpečnostní chybu, která posouvá způsob autorizace platebních příkazů SMS zprávou zpět na úroveň ověřování klienta pomocí uživatelského jména a hesla. Jinými slovy: téměř jako by SMS autorizace plateb nebyla.

Větší nebezpečí může spočívat v důvěře v SMS zabezpečení, v důsledku čehož lze oslabit v ostražitosti střežení uživatelského jména a hesla (např. užíváním „lépe zabezpečeného“ bankovnictví na více rizikových počítačích – kupříkladu v internetových kavárnách).

Přestože Česká spořitelna tvrdí, že máme již připravenou novou verzi, která problém, na nějž poukazujete, odstraní. V této souvislosti musím podotknout, že bychom v žádném případě nespustili funkčnost autorizačních SMS do ostrého režimu bez odstranění podobných chyb.

Otázkou zůstává, jak by se zachovala Česká spořitelna v případě reklamace platby autorizované SMS zprávou…