Asiantuntija lyttäsi Nordean mobiilipankin tietoturvan: ”Itsetuhomekanismi” ei toimi – Nyt Nordea lyttää takaisin

Käyttöliittymäkehitykseen erikoistunut Adusson toimitusjohtaja kertoo Uuden Suomen blogissaan Nordean mobiilipankkisovelluksesta löytämästään tietoturva-aukosta.

Nordea kertoo verkkosivuillaan, että esimerkiksi tunnuslukusovellukseen murtautuminen on tehty ”käytännössä mahdottomaksi”.

Adusson toimitusjohtaja Janne Pitkänen on kuitenkin onnistunut. Pitkäsen mukaan murtautuminen tehtiin puhelimeen asennetulla näytöntallennussovelluksella. Sen avulla näytöltä saadaan talteen käyttäjän asiakasnumero.

Tunnuslukusovelluksen käytön aikana puhelimen näyttö pimenee, mutta tallentimen näyttökosketusten visualisointiominaisuus tunnistaa näppäilyt. Näiden virtuaalisten ”jälkien” avulla tunnusluku voidaan saada selville.

Nordea: Asiakkaalle turvallisin tapa

Vaikka Pitkäsen mainitsema tapa olisikin mahdollinen, varkaan on päästävä käsiksi puhelimeen ja saatava sen näyttölukitus auki. Jos näyttö on lukittu sormenjäljellä, tehtävä lähentelee mahdotonta.

Nordea huomauttaakin tuoreessa tiedotteessaan, että pankissa ei ole havaittu yhtään kyseistä tapausta. Pitkäsen kuvailemaa keinoa pankki pitää teoreettisena ja erittäin epätodennäköisenä. Nordean mukaan sen tunnuslukusovelluksella tehdään vuosittain noin 125 miljoonaa tunnistus- ja hyväksymistapahtumaa. Pankin mukaan tunnuslukusovellus on asiakkaan tietoturvan kannalta huomattavasti turvallisempi kuin perinteinen paperinen tunnuslukulista.

Nordea kertoo sivuillaan, että sen sovellus tekee itsestään käyttökelvottoman, jos tietoturvaa yritetään murtaa. Pitkäsen mukaan tämä ei pidä paikkaansa. Kyseinen ”itsetuhomekanismi” ei aktivoitunut Pitkäsen testissä.

Nordea muistuttaa, että käyttäjätunnus ja pin-koodi on pidettävä aina omana tietona, eikä kyseistä tietoa saa tallentaa mobiililaitteeseen. PIN-koodin voi halutessaan vaihtaa, jos käyttäjä epäilee sen päätyneen vääriin käsiin.

Kuva: iStockPhoto

Pauli Reinikainen

pauli.reinikainen (at) yrittajat.fi