Niebezpieczne logowanie w banku ING
Błędna implementacja wirtualnej klawiatury - virtual keyboard - zastosowana na stronie logowania do konta w ING Bank Śląski naraża klientów tej instytucji na wykradzenie danych autoryzacyjnych.
W swoich założeniach wirtualna klawiatura jest jednym z elementów podnoszących bezpieczeństwo korzystania z usług bankowości internetowej, ponieważ chroni przed skutkami działania oprogramowania szpiegującego, które potrafi przechwycić znaki wybierane na standardowej klawiaturze.
Niestety, najnowsze odmiany złośliwych aplikacji poradziły już sobie z takimi utrudnieniami, rejestrując obraz w trakcie logowania w postaci zrzutów ekranu lub jako sekwencję wideo.
Jeden z naszych współpracowników zauważył, że implementacji wirtualnej klawiatury w ING Bank Śląski znajduje się poważne niedopatrzenie a wręcz błąd. Klikając na którykolwiek z przycisków widzimy, iż zmienia się jego kolor oraz widoczny staje się efekt głębi. Keylogger z funkcją robienia zrzutów ekranu bez problemu wyłapuje w takim bądź razie wszystkie wpisywane przez użytkownika klawisze poprzez wirtualną klawiaturę.
Problem wyrasta poza standardowe podejście, to znaczy nie zależy od systemu operacyjnego czy też używanej przeglądarki internetowej. Zagrożenie istnieje dla każdej platformy (zależnie od wyobraźni atakującego napisze on keyloggera z funkcją umożliwiającą robienie zrzutów ekranu dla każdej platformy lub ściągnie gotowe narzędzie z internetu).
Wirtualna klawiatura powinna w swym zamierzeniu chronić potencjalnych użytkowników przed różnej maści keyloggerami. Nie wpisujemy znaków z klawiatury lecz za pomocą myszki klikamy w określone klawisze wirtualnej klawiatury widocznej na ekranie monitora. Z tegoż to powodu, wirtualna klawiatura nie może przejawiać efektów "aktywnego przycisku" - aktywny klawisz nie może zmieniać swojego koloru, rozmiaru, głębi, kształtu itp., najogólniej mówiąc - wyglądu. Tylko taka implementacja jest w stanie zapewnić odpowiedni poziom bezpieczeństwa, do którego de facto została stworzona i zaprojektowana.
Oczywiście błąd ten nie stanowi stricte poważnego naruszenia bezpieczeństwa, ale skoro ING Bank Śląski stara się podnieść bezpieczeństwo swojego banku za pomocą wirtualnej klawiatury, powinien robić to poprawnie. Na dzień dzisiejszy klawiatura zawiera błąd, który de facto sprawia, iż klawiatura ta z punktu widzenia bezpieczeństwa "nie istnieje". Atakujący bez problemu jest w stanie ominąć jej działanie.
Dział techniczny ING Bank Śląski, czy też bardziej prawdopodobne deweloperzy ów wirtualnej klawiatury, powinni przeczytać tekst autorstwa Sachin Schetty, "Introduction to spyware keyloggers", szczególnie sekcję zatytułowaną "Preventing Keystroke Capture".
