Niebezpieczne logowanie w banku ING
Błędna implementacja wirtualnej klawiatury - virtual keyboard - zastosowana na stronie logowania do konta w ING Bank Śląski naraża klientów tej instytucji na wykradzenie danych autoryzacyjnych.
Niestety, najnowsze odmiany złośliwych aplikacji poradziły już sobie z takimi utrudnieniami, rejestrując obraz w trakcie logowania w postaci zrzutów ekranu lub jako sekwencję wideo.
Jeden z naszych współpracowników zauważył, że implementacji wirtualnej klawiatury w ING Bank Śląski znajduje się poważne niedopatrzenie a wręcz błąd. Klikając na którykolwiek z przycisków widzimy, iż zmienia się jego kolor oraz widoczny staje się efekt głębi. Keylogger z funkcją robienia zrzutów ekranu bez problemu wyłapuje w takim bądź razie wszystkie wpisywane przez użytkownika klawisze poprzez wirtualną klawiaturę.
Problem wyrasta poza standardowe podejście, to znaczy nie zależy od systemu operacyjnego czy też używanej przeglądarki internetowej. Zagrożenie istnieje dla każdej platformy (zależnie od wyobraźni atakującego napisze on keyloggera z funkcją umożliwiającą robienie zrzutów ekranu dla każdej platformy lub ściągnie gotowe narzędzie z internetu).
Oczywiście błąd ten nie stanowi stricte poważnego naruszenia bezpieczeństwa, ale skoro ING Bank Śląski stara się podnieść bezpieczeństwo swojego banku za pomocą wirtualnej klawiatury, powinien robić to poprawnie. Na dzień dzisiejszy klawiatura zawiera błąd, który de facto sprawia, iż klawiatura ta z punktu widzenia bezpieczeństwa "nie istnieje". Atakujący bez problemu jest w stanie ominąć jej działanie.
Dział techniczny ING Bank Śląski, czy też bardziej prawdopodobne deweloperzy ów wirtualnej klawiatury, powinni przeczytać tekst autorstwa Sachin Schetty, "Introduction to spyware keyloggers", szczególnie sekcję zatytułowaną "Preventing Keystroke Capture".
