Säkerhetsbrist i Skatteverkets appar

För några veckor sedan så laddade jag hem Skatteverkets nya iPhone App för deklaration dagen efter den släpptes. Jag kunde snabbt konstatera att viss information skickades okrypterat till Skatteverket.

Denna information som skickas okrypterat kan en angripare modifiera och lura den iPhone App som Skatteverket utvecklat. Detta förutsätter att någon loggar in med personliga koder över ett oskyddat eller delat krypterat WiFi-nätverk på ett café exempelvis.

Angriparen kan då presentera en inloggningssida eller deklarationssida som är helt identisk med den som Skatteverket tillhandahåller och kan då läsa av personliga koder (verifierat) och troligtvis även ändra bankuppgifter (ej verifierat). Detta helt utan användarens kännedom.

Appen hade vid tillfället då säkerhetsbristen uppdagats laddats hem över 50 000 gånger. Skatteverket uppdaterade sin app omgående då detta uppdagande rapporterats till dem. Troligtvis så gällde denna brist även Android-telefoner men det har jag dock ej verifierat.

Skärmdump på nätverkstrafiken som skickas okrypterat (http) till Skatteverket:

Vanliga frågor och svar (FAQ)

Fråga: Hur vet jag om jag blivit av med mina personliga koder?

Svar: Det vet du inte, dock så är skadan som någon kan göra med dina personliga koder begränsad.

Fråga: Om någon kan ändra mina bankuppgifter för skatteutbetalning, märks det?

Svar: Vet ej, om du vet lämna en kommentar.

Fråga: Hur går attacken till rent tekniskt?

Svar: Genom att ändra det HTTP-redirect svar som Skatteverket skickar okrypterat i den första HTTP-frågan så är det möjligt att skicka ett annat svar till godtycklig URL där exempelvis en fiktiv inloggningssida visas. Dvs Skatteverkets App fungerar enbart som en enkel webbläsare och visar vilken URL som används samt om sidan är krypterad via https eller ej.

Fråga: Varför har inte Skatteverket meddelat något om denna sårbarhet?

Svar: I dess uppdateringar till iPhone Appen så skriver de ”Förbättrad nätverkskommunikation”. Se skärmdump:

En reaktion på ”Säkerhetsbrist i Skatteverkets appar

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *