Sunday, July 24, 2016

Vọc thử các ứng dụng ngân hàng trực tuyến

Nhân dịp vấn đề an toàn giao dịch ngân hàng trực tuyến đang nóng, mình làm một vài bài thử nghiệm với các dịch vụ của 5 ngân hàng lớn trong nước: BIDV, Vietcombank, ACB, Techcombank và Sacombank. Các bài thử nghiệm sẽ là (hoặc tua xuống cuối bài để xem nhanh nên xài ngân hàng nào thì an toàn :P):
  1. Trang web
    • TLS: phải bật
    • SSL Server Test: phải từ A trở lên
    • HPKP: phải sử dụng
    • hoặc phải mã hóa tên và mật khẩu bằng Javascript trước khi đăng nhập
  2. Ứng dụng di động: lúc đầu mình tính kiểm tra riêng Android và iOS nhưng thực tế thấy ứng dụng mỗi ngân hàng ở hai nền tảng khá giống nhau nên gom lại chung cho gọn

Giới thiệu

TLS trước đây còn có rào cản về chi phí tuy nhiên gần đây đã có chứng chỉ miễn phí từ Let's Encrypt nên không còn lý do gì nữa để không làm việc này. TLS là bước cơ bản nhất để bảo mật thông tin giữa ngân hàng và người sử dụng.

SSL Server Test là bài kiểm tra máy chủ web bao gồm phần mềm, cấu hình TLS và chứng chỉ. Bài kiểm tra này sẽ cho điểm trang web, tối đa là điểm A. Điểm càng cao càng tốt.

HPKP là một phần mở rộng cho HTTP cho phép các trang web bảo vệ mình khỏi các cuộc tấn công dạng MITM (man in the middle / người trung gian). Cách tấn công này nôm na là kẻ tấn công can thiệp vào giữa kết nối của người dùng và ngân hàng sau đó bí mật ngăn chặn và thay đổi thông tin qua lại giữa hai bên. HPKP vẫn còn khá mới và chưa được hỗ trợ rộng khắp, người dùng cần sử dụng phiên bản khá mới của các trình duyệt để được bảo vệ (ví dụ: Chrome 46, Firefox 35 trở lên).

Certificate/Public Key Pinning có ý tưởng gần giống HPKP nhưng thay vì thực hiện kiểm tra ở trình duyệt thì mỗi ứng dụng tự kiểm tra khi kết nối với máy chủ. Do ứng dụng được phát hành bởi chính ngân hàng nên đội phát triển có thể nắm rõ máy chủ ngân hàng sử dụng chứng chỉ gì, phát hành bởi đơn vị nào, từ đó thực hiện Pinning đảm bảo thông tin của người sử dụng không bị lộ với bên thứ ba.

Trong trường hợp không sử dụng Pinning thì ứng dụng cần phải mã hóa tất cả các thông tin nhạy cảm như tên, mật khẩu đăng nhập theo cả hai hướng (gửi lên / nhận về) để bảo vệ người sử dụng.

Kết quả

Mỗi bước kiểm tra có thể có kết quả là:
  • PASS
  • BAD: yêu cầu nên có mà không sử dụng
  • FAIL: yêu cầu phải có mà không sử dụng

Trang web

  • TLS: có PASS
  • SSL Server Test: không kiểm tra được do HTTPS cổng 81
  • HPKP: không cài đặt BAD
  • Mã hóa: có nhưng vẫn có thể lấy được mật khẩu (xài base64) FAIL
  • TLS: có PASS
  • SSL Server Test: A PASS
  • HPKP: không cài đặt BAD
  • Mã hóa: không thực hiện FAIL

  • TLS: có PASS
  • SSL Server Test: B FAIL
  • HPKP: không cài đặt BAD
  • Mã hóa: không thực hiện FAIL
Trang web của ACB bị điểm B vì nhiều lý do tuy nhiên nặng nhất là do cấu hình phần mềm đang hỗ trợ một công nghệ đã cũ và có điểm yếu (DH, chi tiết xem thêm trang tổng hợp về ACB tại SSL Labs).

  • TLS: có PASS
  • SSL Server Test: A- PASS
  • HPKP: không cài đặt BAD
  • Mã hóa: không thực hiện FAIL
  • TLS: có PASS
  • SSL Server Test: A- PASS
  • HPKP: không cài đặt BAD
  • Mã hóa: có nhưng vẫn có thể lấy được tên đăng nhập PASS

Ứng dụng di động

BIDV (Android, iOS)
  • TLS: có PASS
  • Pinning (ebank.bidv.com.vn): có PASS
Ứng dụng BIDV (iOS) thực hiện Pinning
và báo lỗi kết nối trong trường hợp bị tấn công

Vietcombank (AndroidiOS)
  • TLS: có PASS
  • Pinning (vcbmobilebankingp2.smartlink.com.vn): không cài đặt BAD
  • Mã hóa: có nhưng vẫn có thể lấy được tên đăng nhập PASS

ACB (AndroidiOS)
  • TLS: có PASS
  • Pinning: không cài đặt BAD
  • Mã khóa: không thực hiện FAIL
adapter=ACBAdapter&procedure=submitAuthentication&compressResponse&parameters=%5B%7B%22username%22%3A%220901234567%22%2C%22password%22%3A%22qwerty1%22%2C%22device%22%3A%22xxx%22%2C%22ip%22%3A%22xxx%22%7D%5D&__wl_deviceCtx=xxx&isAjaxRequest=true&x=xxx
Ứng dụng của ACB ngoài ra còn thực hiện tự cập nhật sau khi cài đặt từ kho ứng dụng, mặc dù dữ liệu cập nhật có vẻ được mã hóa tuy nhiên do không Pinning nên kẻ xấu rất có thể vẫn có cách chèn mã độc vào quá trình cập nhật này.


Techcombank (AndroidiOS)
  • TLS: có PASS
  • Pinning (m.techcombank.com.vn): không cài đặt BAD
  • Mã khóa: không thực hiện FAIL
{"origin":"MAPP","traceNo":"xxx","AuditData":{"device":"xxx","deviceId":"xxx","otherDeviceId":"xxx","application":"MAPP","applicationVersion":"1.1.2.5"},"identification":"0901234567","credential":"qwerty1","identificationType":"0","credentialType":"0","UnstructuredData":[{"Key":"DeviceToken","Value":"xxx"}]}

Sacombank (Android, iOS)
  • TLS: có PASS
  • Pinning (www.msacombank.com.vn): không cài đặt BAD
  • Mã hóa: có nhưng vẫn có thể lấy được tên đăng nhập PASS

Kiểm tra thêm

Mình cũng hơi rảnh nên quyết định thử thêm Citibank với HSBC.

  • Citibank Vietnam Web
    • TLS: có
    • SSL Test A-
    • Không có HPKP
    • Không mã hóa khi gửi thông tin
    • Tổng kết: FAIL
  • Citibank Vietnam (Android, iOS)
    • TLS: có
    • Pinning (mobile.citibank.com.vn): không
    • Mã hóa: có
    • Tổng kết: PASS
    • Ứng dụng này dùng WebView mà không Pinning nên có thể tấn công bằng cách chèn mã độc vào các đoạn Javascript khi tải ứng dụng.
  • HSBC Vietnam Web
    • TLS: có
    • SSL Test C (chứng chỉ + thuật toán yếu)
    • Không có HPKP
    • Không mã hóa khi gửi thông tin 
    • Tổng kết: FAIL
  • HSBC (Android, iOS)
    • TLS: có
    • Pinning (services.mobile.hsbc.com + www.hsbc.com.vn): có
    • Tổng kết: PASS
    • Ứng dụng này của HSBC toàn cầu, mình chọn kết nối vào HSBC Việt Nam thì thấy ứng dụng áp dụng Pinning cho cả hai máy chủ luôn. Tuy vậy vẫn có một số thông tin theo dõi người dùng (sử dụng mạng gì, thiết bị gì, đang vào trang nào) có thể bị nghe lén (máy chủ dc.webtrends.com)

Thông báo lỗi của ứng dụng HSBC khi bị tấn công

Kết luận


Như vậy là chỉ có 1 trang web qua được bài kiểm tra (Sacombank) và cả 5 trang đều không xài HPKP. Như đã nói ở trên, đây là chức năng khá mới và đa số người dùng cũng chưa sử dụng trình duyệt phiên bản đủ mới để hưởng lợi từ việc này. Trên thế giới cũng còn nhiều trang web tài chính chưa bắt đầu sử dụng HPKP (ví dụ như PayPal, HSBC US).

Về ứng dụng di động, 2 ứng dụng không qua được bài kiểm tra (ACBTechcombank) và 1 ứng dụng duy nhất có sử dụng kỹ thuật Pinning là BIDV.

Bảng xếp hạng chung cuộc:
  1. Sacombank: chưa áp dụng các công nghệ mới nhất nhưng vẫn an toàn
  2. BIDV, Vietcombank: ứng dụng của ngân hàng này an toàn hơn web của họ
  3. ACB, Techcombank: về chót. Nên hạn chế sử dụng nếu đang kết nối qua mạng công cộng (wifi quán cà phê, wifi không bảo mật).
Bài này đã được thay đổi do lỗi khi chạy thử web của BIDV dẫn đến thay đổi thứ tự bảng tổng kết cuối cùng (kết quả cũ là BIDV số 1, kết quả cập nhật là Sacombank vượt lên!).

Xem thảo luận + gạch đá ở tinhte.vn.