Malware voor Android onderschept tan-codes internetbankieren

Reacties

« 1 2 3 »

Door joris1989, donderdag 15 september 2011 10:42

Wat mij opvalt is dat ING vaker het doelwit is van dit soort hacking. Andere banken hebben hier naar mijn idee een stuk minder last van? (Ik bedoel dan ABN of Rabobank, de rest is volgens mij een stuk kleiner)
Is die verificatiemethode dan zo'n stuk beter?

Door watercoolertje, donderdag 15 september 2011 10:43

Is die verificatiemethode dan zo'n stuk beter?

Nee uiteindelijk moet je een code invoeren die je ergens vandaan haalt dat het hier per SMS gebeurd is wat makkelijker maar als je een user wijs kan maken een app te installeren kan je hem ook wijsmaken de code van de rabo/abn-reader in te voeren

De gebruiker moet SpyEye zelf installeren.

@idereen: niet doen dus en er is geen probleem

Bovendien is een smartphone vaak slecht beveiligd, terwijl er veel privacygevoelige data op staat.

Nee hoor prima beveiligd

Maar van die beveiliging (aangeven wat een app allemaal kan op je systeem) wordt niet door iedereen gelezen, de beveiliging is goed (zo transparant als het maar kan) maar de meeste gebruikers zijn gewoon niet zo snugger

[Reactie gewijzigd door watercoolertje op donderdag 15 september 2011 10:46]

Door Darkstriker, donderdag 15 september 2011 10:51

Dit is inderdaad gewoon oldschool social engineering.
Dat kan bij elke bank wel gebeuren.
Maar de tan-code principe is wel een stukje zwakker zelfs tegen dit.
Als Rabobank/ABN kan je je klanten heel duidelijk maken dat je de signeer code alleen nodig hebt als je zelf iets overmaakt. Dan wordt social engineering een stuk lastiger.
Tan codes kan je zoals hier gedemonstreerd makkelijk onderscheppen. Als er weer een root-exploit komt zoals die er in maart was dan zou dat bvb een simpele game kunnen doen. Dat kan bij de rabo implimentatie van e-banking niet (of alleen veel moeilijker) gebeuren.

Door guapper, donderdag 15 september 2011 11:10

Terug naar de papieren lijsten dan maar; lastiger om daarbij te achterhalen welke code bij welke transactie hoort.

Door poefel, donderdag 15 september 2011 14:06

De reden dat banken tan-codes en random readers etc gebruiken is om een tweede verificatiemethode te gebruiken die los staat van de (in theorie onveilige) internetverbinding. Deze code per sms versturen was een goed idee toen het werd ingevoerd. Inmiddels zijn echter telefoons ook computers geworden met een internetverbinding. Het idee achter de sms is dus mijns inziens achterhaald en lijkt me niet meer veilig.

Door mae-t.net, donderdag 15 september 2011 14:28

Het probleem is dat het alternatief, een code via een random-reader net zo goed via de eventueel geinfecteerde computer loopt, en daarom ook principieel kwetsbaar is. De TAN-code wordt buiten bereik van de klant gegenereerd dus is veel makkelijker aan te passen aan de stand der (kraak)techniek, bovendien zie je in het smsje nog een keer het bedrag bevestigd worden (veiligheid door feedback). In de praktijk valt het nu met de random-readers nog wel mee omdat de sleutels nog niet op straat liggen, maar die situatie zal op den duur ook niet houdbaar blijken, zodat het -opzich op de groei gekochte systeem- ook periodiek vervangen zal moeten worden.

Alles afwegend, inclusief gebruiksgemak, vind ik zelf de TAN-codes nog steeds een streepje vóór hebben. Zolang je dus maar niet in dit soort truukjes trapt, en ook niet je webbrowser voor telebankieren op je telefoon gaat draaien.

[Reactie gewijzigd door mae-t.net op donderdag 15 september 2011 14:31]

Door kidde, donderdag 15 september 2011 15:39

Beetje onzin:

-Bij de TAN-code kan deze achterhaald worden door onderscheppen van de post / SMS, en bij het verzenden van de klant naar de server, op 2 plekken dus,
-Code van de reader kan alleen onderschept worden tussen klant / server, 1 plek.

-Bij de e-reader wordt het wachtwoord (PIN) niet in de computer ingevoerd, bij de TAN-codes geloof ik wel.

-Verder werkt TAN vziw (vroeger zeker niet) niet met challange-response, zoals de e-reader wel. Dus men hoeft alleen het verkeer van de klant naar de server te 'faken'. Bij challange-response moet men zowel het verkeer van server naar klant (challange) als van klant terug naar de server (response) faken, 2 plekken dus.

Overigens is het GSM-protocol ook lek, dus als dat voor SMS gebruikt wordt is dat een 3e mogelijkheid voor achterhalen van de TAN-codes.

Maw: De e-readers zijn veel veiliger dan het TAN-drama. Vroeger, toen die dingen nog op een lijst stonden die in volgorde afgewerkt werden, was dat TAN-gebeuren helemaal een veiligheids-nachtmerrie, waar ik liever niet mee te maken had. Vreemd dat het nog steeds bestaat. Maar ja, de ING staat zowiezo al niet zo bekend als 'veilig', je kan immers ook reverse-lookups van bankrek. no's doen.

[Reactie gewijzigd door kidde op donderdag 15 september 2011 15:48]

Door XBL, donderdag 15 september 2011 19:15

Bedankt voor deze uitleg.

Door paazei, donderdag 15 september 2011 21:58

-Verder werkt TAN vziw (vroeger zeker niet) niet met challange-response, zoals de e-reader wel. Dus men hoeft alleen het verkeer van de klant naar de server te 'faken'. Bij challange-response moet men zowel het verkeer van server naar klant (challange) als van klant terug naar de server (response) faken, 2 plekken dus.

Als men op deze manier aan een tan-code wil komen zal men alsnog de tancode ook moeten onderscheppen, alleen een request indienen is niet voldoende om een rekening te kraken. Hoe wil je trouwens een request invoeren zonder inloggegevens van de klant.

Ik kan wel elk ding in je betoog gaan tegenwerken, maar ik leg het liever in mijn eigen woorden uit dat je zonder gebruikersnaam, wachtwoord en het bezit van of de telefoon of een hack uitvoeren op de desbetreffende telefoon. Zonder 1 van deze dingen kan je niet bankieren via de ING.

Wat is een tan-code, een gegenereerde code die voor het betreffende "gereserveerde bedrag" geldt, deze is dus te gebruiken voor de transactie die je op dat moment maakt.
Zonder logingegevens kan niemand deze transactie starten behalve jij en deze tancode werkt alleen voor deze transactie...
Zou je deze transactie annuleren en en nieuwe starten, dan krijg je een nieuwe tan-code toegestuurd.

Maw: De e-readers zijn veel veiliger dan het TAN-drama.
Als je ziet hoeveel mensen al slachtoffer zijn geworden van skimacties en de hackers dus een pas kunnen kopieren en daarbij gratis en voor niks de pincode, hoe moeilijk is het dan nog om deze in een readertje te douwen (welke universeel zijn.... de groote fail van dit systeem)...

Deze systemen zijn beiden even lek en dan kies ik voor het gebruikersgemak van de ing, overal bankieren, als je je telefoon maar bij hebt.
...

Maar ja, de ING staat zowiezo al niet zo bekend als 'veilig'
Dus andere banken zijn wel veilig? dacht het niet, misschien is de ING laatst vaker in het nieuws geweest omdat zij dingen anders doen dan anderen, maar daardoor niet onveiliger.
Elke Bank neemt zo zijn afweging tussen veiligheid/gebruikersgemak en zal mensen die slachtoffer worden van phishing e.d. uit een daarvoor weggelegd potje vergoeden. Dit om niet negatief in het nieuws te staan en toch de boel niet dicht te hoeven timmeren en het gebruikersgemak compleet om zeep helpen.

[Reactie gewijzigd door paazei op donderdag 15 september 2011 22:02]

Door _Peter2_, vrijdag 16 september 2011 09:01

Maw: De e-readers zijn veel veiliger dan het TAN-drama.
Als je ziet hoeveel mensen al slachtoffer zijn geworden van skimacties en de hackers dus een pas kunnen kopieren en daarbij gratis en voor niks de pincode, hoe moeilijk is het dan nog om deze in een readertje te douwen (welke universeel zijn.... de groote fail van dit systeem)...

Bij de Rabobank moet je tegenwoordig ook je pasnummer invoeren bij telebankieren, aangezien dit bij normale pintransacties niet nodig is zal een skimmer hier niet over beschikken. En kan hij/zij hier dus ook niet mee telebankieren.

[Reactie gewijzigd door _Peter2_ op vrijdag 16 september 2011 09:02]

Door mae-t.net, vrijdag 16 september 2011 15:11

Dat bedoelde ik met op de groei gekocht; pasnummer invoeren, bedrag invoeren, eventueel zelfs het nummer van de tegenrekening. Allemaal extra maatregelen die je als bank nog kan doorvoeren naarmate het bedrag groter is en/of er weer nieuwe methodes van kraken opduiken. Dat neemt niet weg dat op het moment dat de keys op straat liggen, het ding waardeloos is, en dat de gebruiksvriendelijkheid tot die tijd continu afneemt.

Overigens vraag ik me af of het pasnummer niet gewoon op de pas staat en dus door skimmen bekend is.

Door BeosBeing, woensdag 21 september 2011 15:04

Bij de Rabobank moet je tegenwoordig ook je pasnummer invoeren bij telebankieren, aangezien dit bij normale pintransacties niet nodig is zal een skimmer hier niet over beschikken. En kan hij/zij hier dus ook niet mee telebankieren.

Dat was bij ABN van het begin af aan het geval, ook met de nu al bijna verdwenen (eerste versie) eDentifier.
Wat me bij de eDentifier2 opviel was dat je bij deze voor het inloggen geen code meer moet invoeren (alleen de pin), dat lijkt me minder veilig omdat er dan minder mogelijke respons-codes zijn.
Blijkbaar weet eDentifier dus welke retourcode hij moet opgeven terwijl hij geen invoercode nodig heeft (is zowiezo niet afhankelijk van de pin) dus het enige waar de die code van afhankelijk kan zijn is een volgnummer en mischien de tijd, maar in het laatste geval moet er in de eDentifier2 een klok lopen (die de batterij leeg eet)

Wel zijn er vermoedelijk extra beveiligingen ingebouwd voor het overmaken van grotere bedragen, maar die heb ik nog niet tegen gekomen.

Dat pasnummer is zo slechts één van de weinige simpele beveiligingen, de skimmer beschikt er niet over terwijl de pashouder dat nummer mischien uit zijn hoofd kent, ik ken ook het pasnr van mijn vrouw en de beide vorige pasnummers (het zijn bij ABN ook maar 3 cijfers, is dus zelfs handmatig te bruteforcen).

ING gebruikt overigens ingewikkelder pasnummers, 5 tekens met letters en cijfers.

Door BeosBeing, woensdag 21 september 2011 14:08

-Bij de e-reader wordt het wachtwoord (PIN) niet in de computer ingevoerd, bij de TAN-codes geloof ik wel.

Niet dus, pincode voer je niet in. In principe kun je blijven betalen als je pasje kwijt (gestolen) is (als je je telefoon maar hebt) terwijl je met een paslezer dus wel je pasje nodig hebt en die paslezer. Je hebt dus twee dingen nodig en dat is nodeloos onhandig.
Men zou de reader in de pas moeten inbouwen. Uiteraard kan je telefoon gestolen worden, dan heb je wel een probleem als je betalingen wilt doen, maar de dief kan alleen daarmee nog niets

-Verder werkt TAN vziw (vroeger zeker niet) niet met challange-response, zoals de e-reader wel. Dus men hoeft alleen het verkeer van de klant naar de server te 'faken'. Bij challange-response moet men zowel het verkeer van server naar klant (challange) als van klant terug naar de server (response) faken, 2 plekken dus.

De TAN is ook een challenge-respons-systeem alleen wordt het op een andere manier gegenereerd.
Omdat bij het bank-systeem het verkeer via één systeem plaats vind en bij TAN via twee kun je dus ook argumenteren dat het juist veiliger is.Daarbij heb je ook nog een username en password.

Als je bij het systeem van de overige banken de pas+pincode hebt kun je alles, bij ING heb je username+wachtwoord en TAN-lijst of telefoon nodig dus dat maakt in principe niet veel uit.

Overigens is het GSM-protocol ook lek, dus als dat voor SMS gebruikt wordt is dat een 3e mogelijkheid voor achterhalen van de TAN-codes.

True

Maw: De e-readers zijn veel veiliger dan het TAN-drama. Vroeger, toen die dingen nog op een lijst stonden die in volgorde afgewerkt werden, was dat TAN-gebeuren helemaal een veiligheids-nachtmerrie, waar ik liever niet mee te maken had.

Voor zover ik weet werden de TAN-codes van die lijst in willekeurige volgorde opgevraagd. Het Postbank-systeem vroeg dan om de waarde uit rij x, kolom y.
In hoeverre dat te kraken is als je bij Postbank/ING binnen kunt kan ik niet beoordelen.

Vreemd dat het nog steeds bestaat.

Het bestond omdat er mensen waren die geen GSM hadden, en die zijn er nog steeds. Zelf hebben wij er destijds bewust voor gekozen om voor de ene persoon de GSM te gebruiken en bij de ander de lijst, laatste voornamelijk als backup als er met de GSM iets was (gestolen, netwerk plat)

Maar ja, de ING staat zowiezo al niet zo bekend als 'veilig', je kan immers ook reverse-lookups van bankrek. no's doen.

ING heeft wel wat fouten gemaakt in de loop der tijd, die reverse-lookups was echter een bewust ingebouwde feature om foute betalingen te voorkomen. Het enige probleem ermee was dat het niet gelimiteerd was, maar dan nog zou het effectief harvesten van gegevens om er misbruik van te kunnen maken gewoon veel teveel tijd gekost hebben.

Door sickyb, donderdag 15 september 2011 11:02

[...]
Nee uiteindelijk moet je een code invoeren die je ergens vandaan haalt dat het hier per SMS gebeurd is wat makkelijker maar als je een user wijs kan maken een app te installeren kan je hem ook wijsmaken de code van de rabo/abn-reader in te voeren

Daar ben ik het niet mee eens. De beveiliging is zo sterk als de zwakste schakel en in dit geval is dat dus de sms. Het versuren van een sms met een code is bij ABN en Rabobank niet nodig.

[...]
@idereen: niet doen dus en er is geen probleem

Nu is het nog een malware app, straks is het een stukje code in een of andere app en daarna komt er nog een virus. Je had dus moeten zeggen, er is nog geen probleem. Er zit namelijk wl degelijk een zwakte in de beveiligingsmethode en men mag dus aannemen dat die ter zijner tijd misbruikt gaat worden.

Door watercoolertje, donderdag 15 september 2011 11:53

Nu is het nog een malware app, straks is het een stukje code in een of andere app en daarna komt er nog een virus.

Virussen... Die zal je op Android zelf de rechten toe moeten kennen dus als je leest is dat geen probleem, lees je niet moet je je kop misschien maar is stoten zodat je het voortaan wel leest?

Android kent geen virussen, er kan niks achter je rug geinstalleerd worden je moet dit altijd zelf doen (en dan krijg je altijd een overzicht van rechten die de app nodig acht)...

Oftewel in geval van Android geldt: wie niet leest moet maar voelen... Bevalt het je niet ga dan lekker een ander OS gebruiken ofso, ik gebruik Android voor die vrijheid waar IK het meeste mag bepalen niet Google of het OS

Vrijheid beperken voor veiligheid is ook zeker niet de oplossing als dat wel zo was moeten we misschien allemaal uit voorzorg maar opgesloten worden in een gevangenis, zijn ook alle problemen verholpen is het niet? (dan leef ik liever vrij met risico dan opgesloten zonder risico)

[Reactie gewijzigd door watercoolertje op donderdag 15 september 2011 12:17]

Door vgroenewold, donderdag 15 september 2011 12:46

Eeuwenoude discussie, maar "wie niet leest moet maar voelen" werkt gewoonweg niet. Wil je dat Android als platform het predikaat veilig krijgt, dan moet dit werken voor de massa. Of je houdt het systeem zoals het nu is en de massa is uiteindelijk gewoon ontevreden, wat een theoretisch probleem kan worden voor Android in populariteit (en daar kan jij ook weer last van krijgen). Mensen lezen niet meer, omdat developers dit al sinds jaar en dag proberen en mensen er gewoon door zijn afgestompt. De (gedeeltelijke) oplossing zou dan moeten liggen in een slimmer systeem wat de gebruiker voor een bepaald gedeelte uit de som haalt.

Lijkt mij ook niets mis mee, het is gewoon duidelijk een probleem aan het worden.

[Reactie gewijzigd door vgroenewold op donderdag 15 september 2011 12:47]

Door Texamicz, donderdag 15 september 2011 13:39

Het is duidelijk een probleem aan het worden?

Ik denk eerder dat die problemen juist verschrikkelijk uitvergroot worden. De kans opdat zoiets gebeurt is zo nihil dat het eigenlijk niet boeiend is.

Anders kan je net zo goed geen enkele OS gebruiken.....

Door vgroenewold, donderdag 15 september 2011 13:56

Ik bedoel meer dat het nu het begin is van een hele berg aan malware, waarschijnlijk. Of dat ook gaat gebeuren is idd nog een grote vraag en dit soort malware is zeker een groter probleem omdat het zo afhankelijk is van de gebruiker. Dit is een probleem voor ieder OS inderdaad, maar dat neemt niet weg dat daar slimmer op zou kunnen worden ingespeeld.

Door johnbetonschaar, donderdag 15 september 2011 12:52

Android kent geen virussen, er kan niks achter je rug geinstalleerd worden je moet dit altijd zelf doen (en dan krijg je altijd een overzicht van rechten die de app nodig acht)...

Oftewel in geval van Android geldt: wie niet leest moet maar voelen... Bevalt het je niet ga dan lekker een ander OS gebruiken ofso, ik gebruik Android voor die vrijheid waar IK het meeste mag bepalen niet Google of het OS

Lekker naief, volgende stap is een malware applicatie vermomd als legitieme app, die om rechten vraagt die op het eerste gezicht terecht lijken, maar door de applicatie ook voor malware toepassingen wordt gebruikt. Een whatsapp/skype-kloon die internet, adresboek en Bel/SMS functies vraagt bijvoorbeeld. Gecombineerd met het feit dat Android applicaties vrij eenvoudig te decompilen zijn waardoor je ze kunt aanpassen en repackagen, Google ze niet gaat blokkeren, en er nog 100 andere apps store zijn waar je ze kwijt kunt, is dit gewoon een tijdbom. Het wachten is op een stuk malware dat intelligent genoeg gemaakt is dat het niet snel opgemerkt wordt.

Je hebt echt boter op je hoofd als je stelt dat malware op Android geen probleem is, dat het onbenullige schermpje met rechten een onfeilbare beveiliging is, en iedereen het aan zichzelf te danken heeft als je zoiets op je telefoon zet.

Maargoed je sluit je betoog af met de gebruikelijke uitgekouwde holle hyperbolen over 'vrijheid', 'keuze', en 'moeten we iedereen maar uit voorzorg opsluiten anders', dus dan zal je wel gelijk hebben

Door Ubilosis, donderdag 15 september 2011 13:08

[...]
Vrijheid beperken voor veiligheid is ook zeker niet de oplossing als dat wel zo was moeten we misschien allemaal uit voorzorg maar opgesloten worden in een gevangenis, zijn ook alle problemen verholpen is het niet? (dan leef ik liever vrij met risico dan opgesloten zonder risico)

Hoewel ik in de rest van je post me wel aardig kan vinden, is dit laatste deel niet een klassiek gevalletje van reductio ad absurdum?

Ik vraag mij trouwens af, ik zit bij de Rabo, ik gebruik een RaboReader, die de TAN codes aanmaakt (toch?) die voer ik vervolgens in op hun website. Kan zo'n virus niet redelijk eenvoudig deze tancode onderscheppen, aangezien ze weten waar je het invoerd? (Je heb dan al toestemming gegeven om de app en dus virus te installeren?)

Zo zou een virus voor alle banken gebruikt kunnen worden ipv alleen degene die een TAN-code via sms versturen? (of breng ik nu verkeerde ideeën aan de man?)

Door demonite, donderdag 15 september 2011 13:58

Natuurlijk, stap 1 is het verkrijgen van de e-banking inlog gegevens.
Stap 2 is het (automatisch) inloggen en aanmaken van een overschrijving.
Stap 3 is het authenticeren van die overschrijving, daar heb je die TAN/Reader/Challenge code voor nodig, die kun je niet zelf genereren, dus het enige wat je hoeft te doen is die code onderscheppen op het moment dat hij ergens wordt ingevoerd.

Het voordeel van de SMS code is dat je die code kunt onderscheppen ruim voordat hij gebruikt wordt.
Die van de RaboReader wordt direct in de e-banking website ingevuld, dus dan ben je al te laat...

Door donzz, donderdag 15 september 2011 18:04

niet helemaal een voorbeeld van zo'n sms:

Let op: geef nooit uw TAN-code af! Aantal opdrachten: X. Totaalbedrag overboekingen E XX,XX.. Volgnummer XXX; TAN-code XXXXXX.

op de ing site staat op dat moment een overzichtje met de opdrachten, het totaalbedrag en het volgnummer. het is dus niet zo dat je van tevoren al een aantal tan codes opgestuurd krijgt.

Door demonite, vrijdag 16 september 2011 08:08

met "ruim" bedoel ik de tijd die jij nodig hebt om dat SMSje te openen, te lezen en over te typen in je browser en op OK te drukken.
Die tijd is ruim voldoende om automatisch in te loggen, een andere overschrijving aan te maken en de onderschepte TAN code daarvoor te gebruiken.

trouwens... wel een idee, aangezien idd in dat SMSje al staat over welke overschrijving het gaat, zou het voor ING toch niet zo moeilijk moeten zijn om die TAN code alleen voor die overschrijving geldig te laten zijn!

maar aan de andere kant, als ze in staat zijn om automatisch in te loggen en overschrijvingen aan te maken, kunnen ze natuurlijk ook automatisch TAN codes aanvragen..

Door BeosBeing, woensdag 21 september 2011 15:17

Het voordeel van de SMS code is dat je die code kunt onderscheppen ruim voordat hij gebruikt wordt.
Die van de RaboReader wordt direct in de e-banking website ingevuld, dus dan ben je al te laat...

De SMS-code word naar je verstuurd op het moment dat de webpagina er naar vraagt (pagina laad sneller als sms wordt ontvangen) en dan ingevoerd.

De Reader-code wordt (aan de hand van de code op de webpagina) door de reader gegenereerd en dan ingevoerd.

In beide gevallen drukt de gebruiker daarna op 'ok' of 'verzenden' waarna de code pas wordt teruggevoerd naar de bank. Zo veel verschil maakt dat dus ook niet.

Door poefel, donderdag 15 september 2011 14:10

Bijna alle apps in android hebben een hoop rechten nodig om te kunnen werken, al is het maar om je passende reclame te kunnen voorschotelen. Er hoeft dus maar een achterdeurtje in een of ander dom spelletje te zitten, en al je gegevens liggen op straat.

Door AHBdV, donderdag 15 september 2011 16:09

er kan niks achter je rug geinstalleerd worden je moet dit altijd zelf doen (en dan krijg je altijd een overzicht van rechten die de app nodig acht)...

Het probleem is echter, dat het meest simpele 'notepad' app al een waslijst met (overbodige) rechten vraagt. Waarom dat alles nodig is, (en waarom de gebruiker daarmee lastig gevallen wordt) is totaal niet inzichtelijk. Het effect laat zich raden... Iedereen negeert dat overzicht van rechten, en installeert gewoon.

Dat kun je de gebruiker niet helemaal aanrekenen... Er wordt gewoon té veel gevraagd. En dan ziet men door de bomen het bos niet meer.

Door mae-t.net, vrijdag 16 september 2011 15:14

Android kent geen virussen, er kan niks achter je rug geinstalleerd worden je moet dit altijd zelf doen

Bedoel je met die uitspraak dat je over een waterdicht bewijs beschikt dat er geen potentieele exploits in Android zitten? (vooral van de categorie die MS zo prozaisch omschrijft als een "niet geverifieerde externe gebruiker"). Als je dat soort dingen kunt bewijzen, dan liggen er miljarden euro's voor jou klaar in de softwareindustrie, want dat is wel ongeveer een heilige graal.

Of weet je het misschien toch niet zeker?

[Reactie gewijzigd door mae-t.net op vrijdag 16 september 2011 15:15]

Door Passkes, donderdag 15 september 2011 11:05

De verificatiemethode van de ING is wel degelijk veel zwakker dan die van de andere banken. Het is ook niet voor niets dat de ING telkens weer de sjaak is. Je hebt gewoon een extra apparaat nodig wat ook kan communiceren met derden in dit geval dus de telefoon. Mensen zijn m.b.t. virussen e.d. nog lang niet zo voorzichtig met hun telefoon als dat ze zijn met hun PC. En daar schuilt juist het hele gevaar.

Daarnaast heb je bij b.v. een rabobank meerdere malen een code nodig om grotere bedragen af te schrijven. (dubbel / triple verificatie).

Wat ik dan persoonlijk nog het ergste vind is de laksheid van ING om de gebruikers eerder te waarschuwen, ze waren inmiddels al bijna een jaar op de hoogte van het virus op de desktop en hebben er gewoon helemaal niets aan gedaan onder de noemer "het valt allemaal wel mee"....

Door Luuk1983, donderdag 15 september 2011 12:15

Je hebt nog altijd de gebruikersnaam en wachtwoord van de gebruiker nodig. Zonder die gegevens in het onderschappen van TAN-codes waardeloos. De combinatie gebruikersnaam + wachtwoord + TAN-code is naar mijn mening veilig genoeg. Ja natuurlijk kan het veiliger, maar ik blijf erbij dat het een afweging moet zijn tussen gemak en veiligheid. Ik kan overal waar ik ben met ING via internet dingen overmaken (heb telefoon altijd bij me), andere mensen hoor ik veel te vaak 'ja dat moet ik thuis doen, ik heb dat kastje van de bank niet bij me'.

Door Texamicz, donderdag 15 september 2011 13:41

Dus wat wil de malware dan doen met die Tancode?

In de praktijk kunnen ze er bijna niks mee? Omdat je ook andere gegevens nodig hebt zoals jij stelt.

Lekker opgeblazen bericht dus...

Door mae-t.net, vrijdag 16 september 2011 15:19

Nou, op het moment dat zowel je telefoon als je webbrowser geinfecteerd zijn ben je zwaar de sjaak. Dat is dus een situatie waar je heel alert op moet zijn.

Voor de rest vind ik het een prima werkbaar systeem, met argumenten die elders al gegeven zijn.

Door timmov, donderdag 15 september 2011 11:46

Daarnaast moet je het installeren van applicaties buiten de market om eerst aanzetten. Normaliter is dit niet mogelijk. Bij deze handeling moeten al alarmbellen gaan rinkelen.

Door worldcitizen, donderdag 15 september 2011 13:51

Nee uiteindelijk moet je een code invoeren die je ergens vandaan haalt dat het hier per SMS gebeurd is wat makkelijker maar als je een user wijs kan maken een app te installeren kan je hem ook wijsmaken de code van de rabo/abn-reader in te voeren

Te eerste is het omslachtiger. Ten tweede kun je met een radom reader code "alleen maar" je rekening informatie zien.
Je zult al minimaal een challenge response actie moeten hebben, om geld te kunnne overboeken. Dan zullen de meeste mensen achterdochtig worden.

IMO moeten ze ING dwingen om hun methode aan te passen aan deze tijd.

Nee hoor prima beveiligd Maar van die beveiliging (aangeven wat een app allemaal kan op je systeem) wordt niet door iedereen gelezen, de beveiliging is goed (zo transparant als het maar kan) maar de meeste gebruikers zijn gewoon niet zo snugger

Dat vertrouw je allemaal?
Daarbij kun je ook malware verstoppen in een leuk programma. een trojan horse. Dan heeft de gebruiker hier helemaal geen weet van.

Daarom moet IMO de Nederlandse bank de ING verbieden om deze manier van internet bankieren te blijven gebruiken.

Door mae-t.net, vrijdag 16 september 2011 15:24

Aanpassen aan deze tijd... Dat zeg je nu wel, maar hoe had je je dat voorgesteld?

De pas/randomreader-combinatie die bij andere banken de sleutels genereert zal met elke veiligheidsmaatregel minder gebruiksvriendelijk worden, totdat de sleutel 'opeens' gekraakt is en alle passen of misschien zelfs alle passen en alle random readers vervangen moeten worden en je tot die tijd niet kan telebankieren. Om maar een van de mogelijke toekomstscenario's te noemen.

Door Deurdouwer, donderdag 15 september 2011 10:44

ING is de enige bank in Nederland die gebruik maakt van TAN codes, en deze ook per SMS kan opsturen. Dit is dus makkelijker aan te vallen dan de methodes die andere banken gebruiken (random readers).

[Reactie gewijzigd door Deurdouwer op donderdag 15 september 2011 10:46]

Door wootah, donderdag 15 september 2011 11:27

Ik dacht dat zo'n TAN code via SMS was gekoppeld aan een transactie code waardoor het niet mogelijk zou moeten zijn om een andere betaling (een groot bedrag richting de hacker) er mee goed te keuren

Ik bedoel, ING zet ook altijd het bedrag waarvoor de tancode bedoelt is in de SMS.

Als dat niet het geval is... word het dan niet tijd om zoiets toe te passen? lijkt me een stuk veiliger

Op zo'n manier kunnen al die hacks met gemak voorkomen worden natuurlijk

Door Bartjeh, donderdag 15 september 2011 11:31

Dat klopt dat de TAN code gekoppeld is aan een bepaalde Transactie. Maar als de mensen van deze tool ook jouw inlog van je ING account hebben, kunnen ze natuurlijk een transactie doen en daarna de sms onderscheppen via dit tooltje. Vervolgens keuren ze de transactie met de juiste TAN code goed.

Door wootah, donderdag 15 september 2011 11:37

Jup, ik ging er van uit dat er alleen lokaal toegang was vanuit de client pc.
Mja, als je bank gegevens over straat liggen en met zo'n android malware infectie zou je vrij snel al je geld kwijt kunnen raken.

Wellicht moeten ze dan komen met secundaire authenticatie. Maarja, met spyware op je pc kan dat ook vrij weinig helpen

Door mjtdevries, donderdag 15 september 2011 12:15

Die TAN code via SMS is al een secundaire authenticatie.

Door wootah, donderdag 15 september 2011 12:54

Ik bedoel op het inloggen zelf

Door Neko Koneko, donderdag 15 september 2011 10:44

Rabo en ABN gebruiken geen SMS verificatie

Door Gamebuster, donderdag 15 september 2011 10:44

voor andere banken heb je zo'n apparaatje nodig voor een code

Door WilliamP, donderdag 15 september 2011 10:46

Ik denk ook dat het komt omdat de ING wat groter is.
Dat zie je ook met Windows, hoe groter de speler hoe meer virussen etc er voor zijn.

Dat zie je nu ook gebeuren met Smartphones, ik denk dat in de toekomst we hier nog veel meer last van zullen krijgen.

Door i-chat, donderdag 15 september 2011 11:41

wat een onzin, de rabobank is een van de groterre 'zakelijke' banken van NL en heeftl als zodanig verwacht ik dus ook meer zakelijke klanten met zakelijke limieten, in vergelijking met bijv de postbank (nu ing) waar vooral oude dametjes hun spaarcentjes naar toe brengen...

als er een bank in nl gemakkelijk te targeten zou moeten zijn... dan is het wel de 'boeren leenbank'

ik verweit de ing dan ook degelijk dat ze zo dom zijn om nog steeds met smstjes te werken... elke gehackte smartphone kan dat systeem verkloten... natuurlijk is bij de rabobank de user nog steeds een probleem in de keten, maar bij de ing zijn er naast de user dus nog meer mogelijkheden...

Door Bartjeh, donderdag 15 september 2011 11:49

Nouja een gehackte telefoon is meestal nog steeds de schuld van de user. Gestolen telefoon kan je dan meestal weer niet zoveel aan doen.

Door soufianemrabet, donderdag 15 september 2011 12:04

''De internetsite van de Mijn ING is de drukst bezochte internetsite van Nederland. (Als tweede staat de NS genoteerd.) Meer dan 5 miljoen rekeninghouders van de bank hebben internettoegang. Dat is bijna een derde van de Nederlandse bevolking. Het aantal bezoekers kan oplopen tot 1,1 miljoen per uur (In de maand mei, als het vakantiegeld en de eventuele winstdeling wordt uitgekeerd aan werkend Nederland). In deze maand verstuurde de bank (toen nog Postbank) op 1 dag 4,8 miljoen sms-jes aan hun klanten die online boekingen hebben ingevoerd.''

bron: wiki

Door Caelestis, donderdag 15 september 2011 13:00

Tja kun je nagaan en dan nog met TAN codes kloten alsof ze in de middeleeuwen leven.

Het is duidelijk dat het kleur en logo een belangrijkere rol spelen in het hoofd van veel Nederlanders dan het concept veiligheid.

De Rabobank is letterlijk de enige die het random reader gebruikt zoals het hoort. ABN heeft het systeem maar half ingevoerd waardoor ook zij gevoelig zijn voor code kaping.
Je kan immers gewoon het verificatie van de RR gebruiken voor welke transactie dan ook binnen 120 sec.

Rabobank gebruikt de details in het overdracht om het eerste code te genereren wat inhoudt dat ook als jij via een spoofing je RR code invult kan een hacker er nog niks mee omdat het code niet overeenkomt met zijn fake overboeking.

Door poefel, donderdag 15 september 2011 14:14

De Rabobank is letterlijk de enige die het random reader gebruikt zoals het hoort.

Dat mag wel waar zijn, maar toen ik nog een Raborekening had was ik wel telkens mijn reader vergeten op momenten dat ik hem nodig had. Dat probleem heb ik nu met ING niet meer. En op ieder moment over je eigen rekening kunnen is ook een vorm van veiligheid.

Door mae-t.net, vrijdag 16 september 2011 15:28

Met tancodes kloten? Als dat systeem zo onveilig zou zijn, dan zou dat voor de bank toch al lang niet meer lonen? Ik denk dat je even iets verder door moet denken.

Overigens erken ik dat het rabosysteem best aardig werkt voorlopig, hoewel wat omslachtiger dan bij de ING. Dat andere banken knudde zijn had ik al eens opgevangen maar weet ik niet uit eigen ondervinding.

Door El Cid, donderdag 15 september 2011 12:11

Qua betaalrekeningen is ING veruit de grootste.

Door mokkol, donderdag 15 september 2011 13:56

ING is niet alleen in Nederland he

Door Iftert, donderdag 15 september 2011 10:47

Ik heb zelf Rabobank, en daar zit een apparaatje bij . Mij lijkt dat zo`n apparaatje makkelijk te hacken is dan iets met een passwoord + tan codes (hack n00b speaking) Want mijn bank gegevens worden alleen maar beveiligd door m`n pin code, en een rekenkundig apparaat, dat volgens mij zo kan worden nagemaakt, of gesimuleerd.

Maar misschien mis ik wel iets

Door Twilight Burn, donderdag 15 september 2011 10:52

Je mist inderdaad iets ;-)

Dat apparaatje van de rabobank is in feite niets meer dan een simpel keyboard en scherm voor je bankpas.
De chip op je pas controleert de PIN code, en rekent de code uit die daarna op het scherm verschijnt (en je moet intoetsen op de website) - De chip zorgt er ook voor dat deze na 3 foute pogingen geblokkeerd wordt. Een andere Random Reader gebruiken heeft dan ook geen zin.

Door Iftert, donderdag 15 september 2011 10:55

Maar stel mijn pas is geskimmed en ze hebben mijn pin afgekeken. Dan kunnen ze er makkelijker bij. omdat ze dan toch niet een tan code opsturen via mijn sms. Dus ze kunnen naast mijn bank leeg pinnen. ook inloggen op mijn bank en zelf makkelijker bij mijn spaargelden

Door Twilight Burn, donderdag 15 september 2011 10:58

Het skimmen van je pas betreft de magneetstrip, en niet! de chip. Dus met een geskimde pas kunnen ze geen gebruik maken van de Random Reader.
De chip is niet zomaar uit te lezen en te kopieren, terwijl dat bij een magneetstrip heel makkelijk gaat.

Wat de TAN code betreft, je mobiel is nog makkelijker gestolen dan dat je bankpas geskimd is, en vziw kun je ook instellen dat je wachtwoord naar je mobiel gestuurd wordt, dan hebebn ze aan alleen je telefoon (en je bankrekeningnummer) genoeg om je hele rekening leeg te stelen.

Door prutsger, donderdag 15 september 2011 11:19

Nee wachtwoorden krijg je een afhaalbericht voor waarbij je moet legitimeren op het postkantoor.

Door The_Fes, donderdag 15 september 2011 14:37

Helaas, dat is vorig jaar veranderd!

nieuws: Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update

Door Bartjeh, donderdag 15 september 2011 11:39

Ongetwijfeld dat je mobiel makkelijker gestolen wordt dan dat je pas geskimmed wordt, maar wat dat betreft wordt je portemonnee net zo makkelijk gejat als je telefoon, of mis ik hier iets?

Door robvanwijk, donderdag 15 september 2011 12:15

Wat de TAN code betreft, je mobiel is nog makkelijker gestolen dan dat je bankpas geskimd is, en vziw kun je ook instellen dat je wachtwoord naar je mobiel gestuurd wordt, dan hebebn ze aan alleen je telefoon (en je bankrekeningnummer) genoeg om je hele rekening leeg te stelen.

Als het goed is kun je een telefoonnummer (of IMEI-nummer of zo) niet vertalen naar een username; zelfs al heb je iemands mobieltje, dan weet je niet met welke username je een password-reset moet aanvragen.
Ook als je een handtasje steelt (met zowel telefoon als bankpas) kun je in principe nog niks: op de pas staat een rekeningnummer, maar daarmee kun je niet inloggen, daar heb je de username voor nodig.

Het gaat wel fout als je iemands smartphone jat, die persoon zijn smartphone gebruikt om te internetbankieren en de username staat opgeslagen in de browser. In dat geval kun je trouwens wel meteen de hele rekening leegplunderen.

Edit @the_shadow:
Nee, wachtwoord heb je niet nodig; als je gebruikersnaam weet dan kun je een nieuw wachtwoord aanvragen, dat naar de telefoon wordt gestuurd mijns inziens wordt een fors deel beveiliging opgeofferd voor een beetje gebruiksgemak, maar goed, ik ga er niet over.

[Reactie gewijzigd door robvanwijk op vrijdag 16 september 2011 01:41]

Door the_shadow, donderdag 15 september 2011 13:00

Het gaat wel fout als je iemands smartphone jat, die persoon zijn smartphone gebruikt om te internetbankieren en de username staat opgeslagen in de browser. In dat geval kun je trouwens wel meteen de hele rekening leegplunderen.

Vergeet niet "en zijn wachtwoord op een papiertje heeft geschreven". Wat dat betreft is een Randomreader een gevaarlijker systeem: inlognaam = gebruikersnaam, verder dingen regelen met pincode. Als iemand je pinpas + pincode heeft, dan kan hij inloggen. Bij ING moeten er 3 afzondelijke dingen "geraden" worden: username (by default een random string), password, en de TAN code die via SMS wordt gestuurd.

Door MrAngry, donderdag 15 september 2011 13:15

Als iemand m'n pinpas + pincode heeft dan hoeft hij niet eens in te loggen, dan loopt ie gewoon met een petje op naar een pinautomaat en trekt de zaak leeg. Dus je hebt altijd door dat je zuur bent omdat je pas weg is.
Dat is het probleem bij de ING, naast pincode + pinpas heeft de ING voor online bankieren een tweede, gevoeliger, security systeem dat niet gebaseerd is op pas+code. Mensen kunnen dus gescammed worden terwijl ze niet doorhebben dat ze gecompromiteerd zijn.

Door Jeroenimoes, vrijdag 16 september 2011 02:28

Dat is niet helemaal waar,want een nieuw wachtwoord wordt niet naar de mobiel gestuurd.

Allereerst heb je bij het aanvragen van een nieuw wachtwoord je pasnummer nodig,naast je naam, etc. Vervolgens krijg je per post een nieuw wachtwoord opgestuurd, en niet via email.

Door guapper, donderdag 15 september 2011 11:13

Bij deze verificatie wordt de chip gebruikt, niet de magneetstrip die voor skimming vatbaar is omdat die niet gecodeerd is.

Door Wh4ck0, donderdag 15 september 2011 10:55

nee, die "apparaatjes" sturen een commando naar je pinpas. De chip op je pinpas genereert dan een hashcode aan de hand van de code die jij invoert. De bank genereert diezelfde hashcode, en vergelijkt dit met het antwoord dat jij invoert op de site.
Tenzij je achter het algoritme kunt komen, is dit zeer lastig te kraken. Want het is hoogstwaarschijnlijk 1-way encryptie, EN de gedeeltes van de chip waar het algortime in zit, is niet uit te lezen.

Door HyperBart, donderdag 15 september 2011 10:57

Beetje hetzelfde principe als dat je zegt dat wachtwoordhashes tout court niet veilig zijn, dat is niet waar... Gebruik het juiste algoritme en de tijd dat het gekraakt wordt is zo lang dat het niet meer rendeert of de kwaadwillende dood is...

Het mechanisme in jouw "rekenkundig apparaat" is op hetzelfde gebaseerd en wordt geregistreerd in hun systemen... Vergelijk het een beetje met een continu veranderende sleutel (ja, echt zo een voor in een slot) afhankelijk van de tijd in een doosje, en dat doosje is beschermd met een PIN-code...

Iemand kan dus jouw doosje wel stelen, maar de sleutel er in niet, want die sleutel komt telkens maar als één variant naar buiten... en dan moeten ze je PIN-code nog hebben...

Die TAN-codes van banken per SMS heb ik nooit veilig gevonden... Hell, zelfs op papier niet... Daar zit te weinig variatie in en blijft te statisch... Geen dynamische two-factor authenticatie. De "prul" met TAN-codes op papier is dat het iets is wat je hebt (het papier met de TAN-codes) en iets wat je kent (het wachtwoord voor de bank-applicatie op de website))

Timo002 legt het ook heel simpel uit: Timo002 in 'nieuws: Malware voor Android onderschept tan-codes internetbankieren'

EDIT: Mijn laatste alinea stond nog al raar geformuleerd, even aangepast en een linkje bijgeplaatst naar een reactie van Timo002

En nog wat bijkomende info:
http://en.wikipedia.org/wiki/Security_token
Dit soort Digipassen gebruiken de meeste Belgen voor hun bank-verkeer: http://www.vasco.com/prod...0_range/digipass_810.aspx

[Reactie gewijzigd door HyperBart op donderdag 15 september 2011 11:19]

Door robvanwijk, donderdag 15 september 2011 12:23

Die TAN-codes van banken per SMS heb ik nooit veilig gevonden... Hell, zelfs op papier niet... Daar zit te weinig variatie in en blijft te statisch... Geen dynamische two-factor authenticatie.

Hoezo weinig variatie? Het zijn zes cijfers en ik heb nog nooit een patroon gevonden. Even onder de aanname dat de site alarm slaat als je probeert te brute-forcen, is daar niks mis mee.
Wat je bedoelt met "statisch" en "dynamisch" begrijp ik niet...?
Tuurlijk is het wel two-factor: password (what you know, via het Internet) + TAN-code (indirecte versie van what you have (namelijk: je mobieltje), via het GSM-netwerk). Dus het zijn twee verschillende factors, gecontroleerd via twee verschillende kanalen.
(Tenminste, toen het systeem ingevoerd werd; de uitvinding van smartphones is niet voorzien. Zie ook mijn andere reactie.)

De "prul" met TAN-codes op papier is dat het iets is wat je hebt (het papier met de TAN-codes) en iets wat je kent (het wachtwoord voor de bank-applicatie op de website))

Dat is een backup om te voorkomen dat iedereen begint te klagen "De Postbank verplicht me om een mobiele telefoon te hebben!!!111". In principe is het gewoon de bedoeling dat je TAN-codes via sms ontvangt.

Door HyperBart, donderdag 15 september 2011 15:11

Die dynamisch/variatie en dat het te statisch was sloeg op die papieren TAN-codes...

Door Timo002, donderdag 15 september 2011 10:58

Inderdaad, zo denk ik er ook over. Maar op een of andere manier is het algoritme toch niet zo makkelijk te kraken. De huidige tijd wordt namelijk meegenomen in de berekening. En ik weet het niet zeker, maar waarschijnlijk wordt er ook een code uit de chip van de bankpas gehaald die het geheel sluitend maakt met de gegevens op de server.

Door BeosBeing, woensdag 21 september 2011 15:30

Bij ABN eDentifier2 wordt de tijd volgens mij niet meer meegenomen.

Door Beerkeeper, donderdag 15 september 2011 10:48

Met de Raboreader of de ABN reader (beide gelijk met inloggen, probeer het maar voor de grap

Je kan een Raboreader gebruiken voor je ABN AMRO pas of de ABN reader voor je Rabopas) kan je eerst alleen inloggen met je pincode, dat je intoetst op de reader. Deze geeft een code terug waarmee je kan inloggen, maar ook alleen dat.

Om een transactie over te maken, moet je je pincode intoetsen + een code die de rabobank site opgeeft (of meerder zelfs bij grotere bedragen). Deze codes zijn afhankelijk van de transacties, zoals bedragen en hoeveel transacties je gaat doen. Zonder pincode kan je niks en deze wordt nergens achtergelaten behalve op je randomreader

Door LOTG, donderdag 15 september 2011 10:58

Die word dus niet achtergelaten op de randomreader, hij word gebruikt als input voor het algoritme. Het zou beveiligingstechnisch heel slecht zijn als die daarvoor word opgeslagen.

Ik vind persoonlijk de random readers veiliger dan die tancodes. Iedere transactie heeft zijn eigen verificatie code, en die is ook vrij kort geldig. Voor grotere bedragen word het ook nog eens extra complex.

Helaas blijft de zwakke schakel nog altijd de gebruiker. Als jij die zo ver krijgt om jou code te versificeren en jou de code te sturen dan zijn de rapen gaar. Alleen je hebt niets aan de code als je niet weet voor welke transactie (en wanneer) hij dient.

Door Arnlith, donderdag 15 september 2011 10:50

De Rabobank heeft een random reader, in feite een token wat op je bankpas werkt.

Betalingen moeten gedaan worden door je rekeningnummer, pasnummer op de Rabobank website in te vullen, vervolgens moet je je pincode op de reader invoeren en vervolgens moet voor een betaling nog een code van de betalingspagina worden ingevuld. Dan krijg je een code terug en moet je deze invoeren.

Het is soms onhandig als je geen reader mee hebt, maar voor de rest werkt het heel fijn. Je krijgt gratis deze reader, zolang je een rekening open hebt bij de Rabobank. Als deze kapot is krijg je zo weer een nieuwe mee.

Door Dutchrevenge, donderdag 15 september 2011 11:24

Het is zelfs zo dat je een nieuwe Random Reader moet afhalen als je batterij leeg is. Deze kun je zelf niet vervangen, omdat de systeemtijd van de Random Reader anders niet meer overeenkomt en dus niet een goede code kan verstrekken.

De beste beveiliging begint overigens nog steeds bij jezelf. Een bank zal je nooit verplichten om de app te downloaden.

Wat mij opvalt is dat mensen wel heel erg makkelijk zijn in het verstrekken van bankgegevens. Een beetje gezonde achterdocht kan geen kwaad.

Door xbeam, donderdag 15 september 2011 12:21

ABN en Rabo zijn locale Banken.

De ING is wereldwijd gezien veel groter en bekender.
volgens mij behoren ze zelfs tot 1 van de grootste banken terwereld
ik denk dat daar het verschil zit waarom de ING vaker doelwit dan een rabobank of ABN

edite:
bron http://nl.wikipedia.org/wiki/ING_Groep

[Reactie gewijzigd door xbeam op donderdag 15 september 2011 12:25]

Door Grrmbl, donderdag 15 september 2011 13:52

Er is altijd iemand het meest de pineut / het populairst. Denk niet dat het zozeer aan de verificatiemethode ligt...

Door CyBeR, donderdag 15 september 2011 23:57

Wat mij opvalt is dat ING vaker het doelwit is van dit soort hacking. Andere banken hebben hier naar mijn idee een stuk minder last van? (Ik bedoel dan ABN of Rabobank, de rest is volgens mij een stuk kleiner)

ING heeft 8 miljoen klanten in Nederland, wat ze gezien onze bevolking van slechts 2x dat direct de grootste maakt. Grootste deel (7mln) omdat ze vroegah de PostBank waren trouwens.

Is die verificatiemethode dan zo'n stuk beter?

Niet persee. Uiteindelijk moet je een code intypen en die kan onderschept worden als de scammer slim genoeg en jij dom genoeg bent.

Door Gamebuster, donderdag 15 september 2011 10:43

Door Grvy, donderdag 15 september 2011 10:45

Waarom maak je zo een opmerking als je al weet wat er gaat gebeuren? Dan ben je toch gewoon idioot bezig.

Door Gamebuster, donderdag 15 september 2011 10:48

Omdat het wel zo is. Het gesloten karakter van iOS voorkomt wel virussen en spyware.

Door Beerkeeper, donderdag 15 september 2011 10:49

Een iPhone kan je ook jailbreaken, dus niet iedereen is gevrijwaard van virussen en spyware op dat platform

Door Wh4ck0, donderdag 15 september 2011 10:56

Kies je zelf voor. Dan moet je je ook bewust zijn van de gevaren.

Door Ethikka, donderdag 15 september 2011 10:59

Net als het installeren van SpyEye, dus niet een relevant verschil.

Door curumir, donderdag 15 september 2011 11:28

Als je het verschil tussen jailbreaken en een appje installeren voor de 'gewone' gebruiker niet ziet ben je in een wel heel ontkennende fase.

Maar verder heeft gamebuster zeker een punt, het bekritiseerde beleid van Apple heeft zeker voordelen:
http://www.wired.com/gadg...xplodes-ios-remains-safe/

In het artikel staat een tabel met malware voor oa. de mobiele OS'en. Daarbij het volgende commentaar:
"Interestingly, you’ll see that iOS doesn’t appear on the above chart at all."

Door mjtdevries, donderdag 15 september 2011 12:22

Jailbreaken kun je al laten doen door de gebruiker een pdf-je te laten openen.

Dus er zit totaal geen verschil tussen jailbreken en die gebruiker die zelf een spyware app installeert omdat er gedaan word alsof de bank dat vraagt.

Door Daejji, donderdag 15 september 2011 12:37

Jailbreaken doe je heel bewust..daar kies je echt voor en dan weet je wat je doet.
Dat van die PDF'jes is leuk...maar zo werkt het 9 van de 10 keer niet..dan komt wel wat meer bij kijken.
Jullie hebben het toch altijd zo graag out of the box werkt bij Android dit en dat wel..heb het nu dan ook over out of the box.
Out of the box is een iPhone veel veiliger wat dit betreft.
Het heeft ook zijn voordelen om zo'n strenge beleid erop te hebben..nadelen heb ik nog niet ondervonden.

Door Texamicz, donderdag 15 september 2011 13:48

Het is ook geen +1 voor iOS...

Het kan namelijk een voordeel en nadeel zijn.

Je zit er eigenlijk tussen in. Je kan niet veilig en open tegelijk zijn.
Android heeft het voordeel open te zijn en niks af te dwingen van jou gebruik.
iOS is qua apps wel veiliger maar maakt afbraak op je vrijheid.

Het is gewoon wat je het liefst wil.
De één is niet beter als de ander.

Door 108886, donderdag 15 september 2011 10:59

Weet je nog, die iOS app van een flashlight die uiteindelijk een verborgen functie had als tethering? Niet zo erg, maar laat wel zien dat het 'controlesysteem' niet waterdicht is.

Dan ben ik liever voorzichtig, dan er zomaar vanuit te gaan dat alles 100% virusvrij is... lijkt mij ook de hoofdreden waarom ik de meeste persoonlijke spam van vrienden met een Mac krijg. Die installeren zomaar alles zonder erover na te denken en komen altijd af met de opmerking "ha, je gebruikt een pc, zal wel vol virussen staan zeker?" (sidenote, bij mij is het sinds 2006 of zo geleden dat ik nog iets of wat virus gehad heb)

Een gejailbreakte iPhone is in principe ook erg kwetsbaar, en laat dat nu net het eerste zijn wat 25% van de iPhone bezitters doet; Jailbreaken om hem er vervolgens meer als Android uit te laten zien...

[Reactie gewijzigd door 108886 op donderdag 15 september 2011 11:00]

Door kmf, donderdag 15 september 2011 11:17

Weet je nog, die iOS app van een flashlight die uiteindelijk een verborgen functie had als tethering? Niet zo erg, maar laat wel zien dat het 'controlesysteem' niet waterdicht is.

Alleen kan een app op iOS zich niet in het systeem nestelen en uit z'n sandbox komen. Enkel bestaande api's aanspreken.
Wat die flashlight dus deed.

Een gejailbreakte iPhone is in principe ook erg kwetsbaar, en laat dat nu net het eerste zijn wat 25% van de iPhone bezitters doet; Jailbreaken om hem er vervolgens meer als Android uit te laten zien...

Bron?

Door Dreamvoid, donderdag 15 september 2011 11:55

Alleen kan een app op iOS zich niet in het systeem nestelen en uit z'n sandbox komen. Enkel bestaande api's aanspreken.

Dat hoeft ook helemaal niet. Via een exploit in bv Safari, Mail of de PDF reader kan je ook op een non-jailbroken iPhone een een willekeurige applicatie (trojan, etc) laten draaien. Hoe denk je dat die jailbreaks en unlock tools werken? Allemaal exploits in de voorgeinstalleerde applicaties.

[Reactie gewijzigd door Dreamvoid op donderdag 15 september 2011 11:57]

Door Texamicz, donderdag 15 september 2011 13:50

En ik weet nog wel die groots aangepakte hack via de Jailbreak via SSH. Waar iedereen zijn paswoord niet veranderde en zo iemand via SSH bij iedereen in hun iPhone konden komen.

Ach er zijn ook veel nieuwsberichten over het hacken van iOS. En vaak zijn de berichten bij Android behoorlijk opgeblazen. Maar zo is dat bij elk van dit soort berichten...

Door demilord, donderdag 15 september 2011 11:14

Omdat het wel zo is. Het gesloten karakter van iOS voorkomt wel virussen en spyware.

Dus daarom heeft windows mobile geen virussen en malware

Door Benne, donderdag 15 september 2011 11:47

Windows mobile is ondertussen wel al heel oud.

Door demilord, donderdag 15 september 2011 11:18

Omdat het wel zo is. Het gesloten karakter van iOS voorkomt wel virussen en spyware.

Ten tweede het gaat hier niet over virussen, en ten tweede.. mensen hebben die software zelf geinstalleerd.. En er zal wel gevraagt worden dat het programma informatie doorstuurd en dergelijke, dus er is user interaction..
Dus het kan nooit een virus zijn...Want die installeerd zonder user interaction op de achtergrond

Door blouweKip, donderdag 15 september 2011 12:10

Enige wat dat doet is de kans verlagen op malware in de officiele store, wat betreft spyware en virussen/exploits, spyware is standaard op iOS (op android kun je je ertegen wapenen) en exploits werken nog steeds net als op andere systemen (het enige wat je hoeft te doen is op een website te komen die een exploit gebruikt in de mobiele safari versie op iOS en voila (hoe denk je dat sommige jailbreaks het deden?)

Enige "nadeel" aan android is dat je zelf software kunt installeren waar dat op iOS zonder jailbreak niet kan: per saldo juist een voordeel voor android en dat er minder controle is op de maket: ook daat heeft uiteindelijk meer voordelen (meer keuze).

het enige wat het gesloten karater doet is dus een vals gevoel van veiligheid geven en je keuzevrijheid ontnemen

Door demilord, donderdag 15 september 2011 12:45

Enige wat dat doet is de kans verlagen op malware in de officiele store, wat betreft spyware en virussen/exploits, spyware is standaard op iOS (op android kun je je ertegen wapenen) en exploits werken nog steeds net als op andere systemen (het enige wat je hoeft te doen is op een website te komen die een exploit gebruikt in de mobiele safari versie op iOS en voila (hoe denk je dat sommige jailbreaks het deden?)

Enige "nadeel" aan android is dat je zelf software kunt installeren waar dat op iOS zonder jailbreak niet kan: per saldo juist een voordeel voor android en dat er minder controle is op de maket: ook daat heeft uiteindelijk meer voordelen (meer keuze).

het enige wat het gesloten karater doet is dus een vals gevoel van veiligheid geven en je keuzevrijheid ontnemen

Daar sla je de spijker op zn kop...
In principe hetzelfde bij linux distros, daar heb je ook repositories.. waar alles gechecked wordt en gecontroleerd word voordat het erin komt.. En daar heb je dan ook support op.. Zodra je er buiten komt en wat installeerd is dat ten aller tijden je eigen verantwoordelijkheid.. Maar je bent ten alletijden vrij om te doen wat je wilt.. Dat heet inderdaad vrijheid, maar ga dan ook niet lopen klagen..

Door Neko Koneko, donderdag 15 september 2011 13:16

Standaard kun je bij Android ook alleen Market apps installeren. Je moet zelf de optie aanzetten om externe APK's te kunnen installeren.

Door LOTG, donderdag 15 september 2011 11:05

Hoewel de opmerking inderdaad nogal trolling overkomt heeft hij wel een punt. Dit soort apps zouden ook op WP7 niet werken, kortweg omdat er geen toegang word gegeven aan dit soort resources (ik zou ook niet weten waarom een app toegang zou moeten hebben tot sms die worden verzonden).

Ik vind het voor WP7 een fijn gevoel hebben dat het OS mij vraagt om dat soort info, en ik kan selecteren wat ik wil dat de app krijgt. Het is misschien wat omslachtig voor sommige toepassingen maar je krijgt geen situaties waar de gebruiker gewoon klikt op toestaan en vervolgens de hele telefoon word leeg getrokken.

Ja het probleem is de domme gebruiker, maar je moet toegeven dat Android ook voor die doelgroep word gemarket.

Een zelfde soort oplossing moet ook voor Android mogelijk zijn zonder het open karakter aan te tasten.

Door Texamicz, donderdag 15 september 2011 13:55

Er zijn verschillende Api's voor SMS natuurlijk. En ja Android heeft een behoorlijk uitgebreideren api lijst als bijvoorbeeld iOS of WP7.

Je kan zelfs met die Api's je eigen SMS programma schrijven. Zo doen OEM's dat ook.
Elke app is eigenlijk een applicatie van dialer, e-mail en sms.

Android is daarin heel modulair maar ook iets meer vatbaarder.
Als er trouwens belangrijke gevaarlijke api's worden aangesproken krijg je wel een grotere waarschuwing als onbelangrijke niet gevaarlijke api' s.

Door NLRay, donderdag 15 september 2011 10:46

Door kenneth, donderdag 15 september 2011 10:50

Of het nu een Android-fanboy of een Bauknecht-fanboy is, geen enkele fanboy kan tegen kritiek. Dat maakt iemand een fanboy

Door kenneth, donderdag 15 september 2011 10:47

Door borgdrone, donderdag 15 september 2011 10:47

Door Countess, donderdag 15 september 2011 10:47

zal niet zo lang meer duren, en weegt totaal niet op tegen de nadelen en kosten van iOS.

Door watercoolertje, donderdag 15 september 2011 10:49

Als je gewoon kan lezen (zie screenshots) is Android prima veilig dat er mensen zijn die dat niet doen, TJA

Als jij een bord van (max) 50 km/h over het hoofd ziet en je blijft 80 km/h rijden is de weg natuurlijk ook slecht ontworpen volgens jouw, in mijn ogen ben jij dan gewoon blind/niet goed aan het opletten.

Waarom zou ik Android moeten verdedigen en iOS af moeten kraken, het is hier toch echt de gebruiker die dom bezig is, als iemand de beveiliging (eigen controlle dus) in Android niet snapt is dat ze eigen schuld

Edit: Ik gebruik dus gewoon ING op me Andorid device, met TAN-codes, en maak me totaal geen zorgen (buiten dat me rekening altijd bijna leeg is)

[Reactie gewijzigd door watercoolertje op donderdag 15 september 2011 10:53]

Door Gamebuster, donderdag 15 september 2011 10:52

Tja, het is slechts een kwestie van tijd voordat dit soort malware in andere apps verstopt wordt. Dan denkt de gebruiker: "Ow, het zal wel goed zijn, ik wil die app gewoon."

Door boksbeugel, donderdag 15 september 2011 11:03

Als je gewoon kan lezen (zie screenshots) is Android prima veilig dat er mensen zijn die dat niet doen, TJA

Sorry, maar dan is het dus niet "prima veilig". Android is kennelijk niet gebruiksvriendelijk genoeg, criminelen verdienen hier geld mee.

Wat ook meespeelt is dat "open" in het kader van veiligheid niet altijd goed is. Je kunt een willekeurig stuk software op je Android toestel installeren, van elke internetbron ook malafide. Overigens ben ik wel voorstander van het adagium dat open source goed is in het kader van security want ik geloof niet in "security by obscurity".

Zo blijkt maar weer eens dat de nuance gezocht moet worden en dat je niet met een simpel "Android is prima veilig" deze kwestie kunt afdoen. Google heeft wel zeker een verantwoordelijkheid hierin en ze komen er niet mee weg de "domme gebruiker" de schuld te geven met je "had maar niet op ok moeten klikken".

Door blouweKip, donderdag 15 september 2011 15:35

Google heeft wel zeker een verantwoordelijkheid hierin en ze komen er niet mee weg de "domme gebruiker" de schuld te geven met je "had maar niet op ok moeten klikken".

Dus als een windows gebruiker zelf opzettelijk malware/spyware download en dat vervolgens installeert dan is dan is dat microsofts verantwoordelijkheid?

Door LOTG, donderdag 15 september 2011 11:09

Dat vind ik een slechte vergelijking. Als jij dat bord mist dan zijn er zat andere factoren die er nog op kunnen duiden dat het misschien niet een 80 zone is. Langzaam verkeer, bochten die nogal scherp zijn, herhalingen bij kruisingen/t-splitsingen. Dat is er niet op Android. Je klikt accept en dan is het weg. Het programma meld zich als het goed is geen eens meer. Daar zit hem de kneep.

Android is het grootste mobiele OS momenteel, dus mag je er ook rekening mee houden dat er mensen zijn die niet snappen wat de gevolgen zijn van dat scherm.

Plus het doet zich voor (maak ik uit de tekst op) als een app van de bank zelf.

Door watercoolertje, donderdag 15 september 2011 12:00

Dat vind ik een slechte vergelijking. Als jij dat bord mist dan zijn er zat andere factoren die er nog op kunnen duiden dat het misschien niet een 80 zone is.

Dingen die je op moeten vallen dus?

Zoals het mij opvalt dat een app op de PC mij verteld iets te moeten installeren op de telefoon (dat is opvallend), buiten de market om (ook opvallend), en dus met een extra vinkje (waar nog is een waarschuwing van Google naar voren komt onder het mom van 'eigen verantwoordelijkheid, let extra goed op') oftewel ook dat is verdacht...

Oftewel nog 3 punten die je toch aan het denken moet zetten...

Je klikt accept en dan is het weg. Het programma meld zich als het goed is geen eens meer. Daar zit hem de kneep.

Zo werkt het dus helemaal niet

Door sickyb, donderdag 15 september 2011 11:21

Waarom zou ik Android moeten verdedigen en iOS af moeten kraken, het is hier toch echt de gebruiker die dom bezig is, als iemand de beveiliging (eigen controlle dus) in Android niet snapt is dat ze eigen schuld

Android begrijpen is niet voor iedere gebruiker vanzelfsprekend. Het gaat erom dat er methoden ontwikkeld worden die de minder goed geinformeerde gebruiker beschermen tegen dit soort misbruik. Dat zou in dit geval de ING moeten doen, je hoeft dus Android niet te verdedigen of iOS moeten afkraken maar je zou best wat kritischer mogen zijn met betrekking tot de gebruikte beveiligingsmethode.

Door watercoolertje, donderdag 15 september 2011 12:01

Dat zou in dit geval de ING moeten doen, je hoeft dus Android niet te verdedigen of iOS moeten afkraken maar je zou best wat kritischer mogen zijn met betrekking tot de gebruikte beveiligingsmethode.

Naja vindt ik niet, ik zit juist bij ING omdat ik dit de fijnste manier vindt

Dus die manier ga ik zeker niet afkraken ik sta er juist achter, alleen voor mensen met verstand weggelegd blijkbaar (bedankt voor het compliment iig)...

Door albino71, donderdag 15 september 2011 11:28

Je ging wat mij betreft hierboven al over de schreef met je "niet zo snugger" en en hier ga je voor de tweede keer mensen dom noemen.

Ook ik kan lezen. Daarnaast denk ik redelijk wat te weten van veel wat hier op tweakers voorbij komt. Toch vind ik het soms lastig om te beoordelen wat een app wel en niet voor toegang nodig heeft. Maakt dat mij meteen dom?

Dat jij wellicht wat meer weet van Android en randzaken wil niet zeggen dat iedereen dat weet. Wellicht zijn er ook gebieden te verzinnen waar jij niet zoveel van weet?
Misschien kun je niet schilderen, maar dan ben je toch niet meteen dom. Zelfs niet als je het desondanks zelf probeert.

Android is net als een pc, "for the masses", en daar zit dus een grote groep gebruikers tussen die het nu eenmaal niet tot op het bot begrijpen.
Dat jij daar apathisch voor lijkt te zijn zou je "niet snugger" of zelfs "dom" kunnen noemen.

Wat beter zou kunnen bijvoorbeeld is wanneer een app met een update klaarstaat in de market, dat duidelijk naar voren komt of de app andere toegang vraagt dan de versie die je nu geinstalleerd hebt. Hoeveel zijn er niet die klakkeloos op OK klikken, want het is maar een update, en ik kan dat wel begrijpen.

Goed....you get the picture...

Beetje meer OT: Goed dat dit soort berichten de gemiddelde gebruiker beschermen. Zou zelfs verder mogen reiken dan Tweakers alleen. nu.nl bijvoorbeeld.

Er blijkt maar weer dat wanneer iets dergelijks populair is/wordt, dit ook gevoelig wordt voor hackers. Ben een android fan, maar hier is nog wel iets te leren om de gemiddelde gebruiker beter te beschermen. Toch vind ik dat Android zichzelf, ondanks de snelle en explosieve groei, toch relatief schoon weet te houden.

[Reactie gewijzigd door albino71 op donderdag 15 september 2011 11:31]

Door gnu, donderdag 15 september 2011 11:50

Wat beter zou kunnen bijvoorbeeld is wanneer een app met een update klaarstaat in de market, dat duidelijk naar voren komt of de app andere toegang vraagt dan de versie die je nu geinstalleerd hebt.

Dit is iets dat ook daadwerkelijk gedaan wordt, als een app andere permissies vraagt dan is het niet meer mogelijk om automatisch te updaten of update all te gebruiken.

Door albino71, vrijdag 16 september 2011 00:30

Dat wist ik niet, tnx. Toch onvolledig dan eigenlijk. Waarom niet bij handmatig updaten ook dan? Kleine moeite als toch al vergeleken wordt. Blijft een verbeterpunt m.i.

Door watercoolertje, donderdag 15 september 2011 12:06

Je ging wat mij betreft hierboven al over de schreef met je "niet zo snugger" en en hier ga je voor de tweede keer mensen dom noemen.

Tja ik ben voorstander van eerst verdiepen in matterie. Ik koop vrijwel niks zomaar waar ik geen verstand van heb (meubels bijv), dan informeer ik bij kennisen/vrienden en/of zelfs me ouders of die me kunnen helpen

Android is net als een pc, "for the masses", en daar zit dus een grote groep gebruikers tussen die het nu eenmaal niet tot op het bot begrijpen.

Dus het OS wat ik het fijnste vindt moet maar 'gaar' gemaakt worden omdat er mensen niks van snappen? Noem me van mijn part egoistisch maar het kan mij echt niks schelen dat andere zich laten belazeren. Ik wil er niet op achteruit gaan zodat andere er op voorruit gaan?

Van mij part maakt Google een 2de market "Market for Noobs" oid, maarja dan activeerd iedereen de optie natuurlijk om de gewone market te zien, dus is ook niet goed

[Reactie gewijzigd door watercoolertje op donderdag 15 september 2011 12:08]

Door robvanwijk, donderdag 15 september 2011 12:34

Noem me van mijn part egoistisch maar het kan mij echt niks schelen dat andere zich laten belazeren. Ik wil er niet op achteruit gaan zodat andere er op voorruit gaan?

Ik neem aan dat je ook geen verzekeringen hebt? Daar gaat ook iedereen er een klein beetje op achteruit zodat iemand (die het op dat moment enorm goed kan gebruiken) erop vooruit gaat.

Je woont ook vast niet in (socialistisch) Nederland, waar de rijken ontzettend veel belasting betalen waar de uitkeringen voor mensen die het moeilijker hebben van worden betaald.

Overigens, als iemand anders hierin trapt en zijn rekening gaat leeg, dan wordt dit meestal vergoed door de bank. Als ze die onkosten niet hadden zouden ze iedereen, dus ook jou, een iets hogere rente kunnen geven. Dus je hebt hier wel degelijk last van...

Tja ik ben voorstander van eerst verdiepen in matterie. (..)
(..) dan activeerd iedereen de optie natuurlijk (..)

Als je mate van "verdiepen" in, laten we eens wat zeggen, "Nederlandse spelling en grammatica" een maatstaf is dan kun je jezelf de moeite besparen...

Door curumir, donderdag 15 september 2011 11:38

Wat makkelijk om het maar weer op de domme gebruikers te schuiven.

Ik vind dat je als ontwikkelaar een taak hebt om (zo goed mogelijk) te zorgen dat de gebruikers goed met je spullen om kunnen gaan. Aangezien de overgrote meerderheid van de mensen niet de kennis, tijd of interesse hebben om zo diep in de materie te duiken als de mensen hier denk ik dat het een gebrek is in een applicatie als daar geen rekening mee wordt gehouden.

Om in je (brakke) metafoor te praten; als een verkeersbord niet goed zichtbaar is, of als er conflicterende borden staan kun je vast protest aantekenen tegen een ontvangen boete.

Door watercoolertje, donderdag 15 september 2011 12:10

Door divvid, donderdag 15 september 2011 11:49

Als jij een bord van (max) 50 km/h over het hoofd ziet en je blijft 80 km/h rijden is de weg natuurlijk ook slecht ontworpen volgens jouw, in mijn ogen ben jij dan gewoon blind/niet goed aan het opletten.

niet helemaal waar, daar is aardig wat over geprocedeerd. Zoals op de utrechtse baan in Den Haag (als je van de A12 den haag in rijdt.) Hier was het in de jaren '90 slecht 50! km vanaf afrit Voorburg, terwijl de weg er uitzag al een snelweg met ongelijkvloerse kruissingen en langzaam verkeer/voetgangers niet zijn toegestaan.

Uiteindelijk is dat dus gewijzigd naar 70. Hoe het nu is weet ik niet, ben er al jaaaaren niet geweest (gelukkig)

Door Benne, donderdag 15 september 2011 11:51

Als je gewoon kan lezen (zie screenshots) is Android prima veilig dat er mensen zijn die dat niet doen, TJA

Dus het is niet standaard veilig , je moet er voor kiezen.
Dan is het toch gewoon niet veilig of ben ik nu gek.

Door DaitoX, donderdag 15 september 2011 10:52

Misschien is het er wel maar gewoon nog niet ontdekt?

De app moet je zelf installeren, zou dus ook makkelijk op een gejailbreakte iphone kunnen draaien en dus op een android telefoon waar een gebruiker met de hand installaties die niet uit de market komen aan zet. Vervolgens bij het installatie scherm ziet dat de app toegang krijgt tot SMS gegevens en het alsnog installeert.

Je post is ongewenst omdat het probleem dus niet bij het OS ligt, maar bij de gebruiker..

[Reactie gewijzigd door DaitoX op donderdag 15 september 2011 11:26]

Door 215005, donderdag 15 september 2011 10:53

je praat een beetje poep, want IOS is ook gewoon linux en daar kan net zo goed malware op geïnstalleerd worden als je een jailbreak hebt..

en eigenlijk heeft het meer met de dommigheid van gebruikers te maken dan met het OS..

Door elleP, donderdag 15 september 2011 10:54

iOS != linux

Door Rembert, donderdag 15 september 2011 11:16

iOS is gebaseerd op OS-X. Beiden zijn gebouwd op Darwin - een Unix variant. Darwin is gebaseerd op NeXTSTEP. NeXTSTEP is gebaseerd op BSD en de Mach kernel waarop ook MkLinux is gebaseerd.

Dus idd. iOS != Linux. Maar wel zijn beiden unix-varianten. En ja, in principe kun je daar malware op installeren.

Door Dreamvoid, donderdag 15 september 2011 11:58

Linux is geen Unix, het is Unix-achtig. En heeft helemaal niks nul te maken met de BSD kernel van OS X/iOS.

[Reactie gewijzigd door Dreamvoid op donderdag 15 september 2011 11:58]

Door HerrPino, donderdag 15 september 2011 12:04

Maar wel zijn beiden unix-varianten

OSX is een Unix versie. Linux is geen Unix, het heeft er alleen veel van weg.

Het feit wil iig dat wanneer Linux en OSX code delen dit puur toevallig is en niet omdat de 1 van de ander afgeleid is.

Door demilord, donderdag 15 september 2011 11:20

je praat een beetje poep, want IOS is ook gewoon linux en daar kan net zo goed malware op geïnstalleerd worden als je een jailbreak hebt..

en eigenlijk heeft het meer met de dommigheid van gebruikers te maken dan met het OS..

iOS is een stripped down.. OSX

Door Benne, donderdag 15 september 2011 11:55

Als je jailbreaked....dus niet standaard onveilig. Dan is het idd de dommigheid van de gebruikers die het onveilig maakt.

Door blouweKip, donderdag 15 september 2011 15:39

Jailbreaks maken van van local (of remote) root exploits op iOS....hoezo is dat standaard niet onveilig?

Feit blijft dat deze app:

1. niet op de market aanwezig is
2. zelf gedwownload en geinstalleerd moet worden (waarbij je expliciet aan moeten zetten om externe bronnen te kunnen gebruiken voor installatie)
3. als je dan nog doorzet krijg je ook nog een reeks rechten te zien waar ws al een alarmbel moet gaan rinkelen.

Het enige waar android meer last van kan hebben dan iOS is malware verstopt in marketapps, iOS heeft dan weer last van standaard spyware en minder controle over de software voor de eindgebruiker om daar wat aan te doen.

Door HgnX, vrijdag 16 september 2011 12:00

Andere vraag. Hoe kan je je smartphone beter beveiligen ? De avgapp is bijvoorbeeld totaal useless met een zeer oppervlakkige scan.

Door MichaelB74, donderdag 15 september 2011 10:44

Wellicht wordt het toch tijd voor Google om een systeem in het leven te roepen waarin nieuwe apps eerst door Google getest worden op hun werking.

Aangezien er steeds meer zaken met en via mobiele telefoons gedaan worden, is dit een zorgelijke ontwikkeling. Denk hierbij ook aan hotspot functies waar het verkeer afgetapt zou kunnen worden tussen pc en telefoon.

Door kenneth, donderdag 15 september 2011 10:48

De app is niet in de Market verschenen, zoals het artikel al zegt.

Volgens mij (in ieder geval bij mij) kunnen standaard apps alleen uit de Market geinstalleerd worden, een losse apk wordt geweigerd.

Door MichaelB74, donderdag 15 september 2011 11:42

Het is mij duidelijk dat het (nog) niet in de Market staat, maar is dat ook zo?

Niemand die dat met zekerheid kan zeggen.

Dit zal door de gebruikers/onderzoekers gesignaleerd moeten worden en dan is het eigenljik al te laat, dan is deze al in omloop.

[Reactie gewijzigd door MichaelB74 op donderdag 15 september 2011 11:42]

Door Corman, donderdag 15 september 2011 10:51

Als de apps nooit gepubliceerd worden op de Market, is er niet veel wat Google qua monitoring kan doen.

Door Sleepkever, donderdag 15 september 2011 10:52

Dit is dan juist toch het verschil tussen Apple en Google. De market is juist open, geen verificatie proces en je hebt de market niet eens nodig om apps te installeren, zoals bij deze maleware het geval is. Er wordt gewoon een APK gedownload naar de telefoon en de gebruiker kan deze installeren (mits 3rd party installations aan staan in de settings).

Dit maakt het voor developers een stuk makkelijker, maar is inderdaad minder veilig dan het gesloten model van Apple. Wat nou beter is is in mijn mening niet te zeggen, beide varianten hebben zijn eigen voor en nadelen.

Door stefanos1990, donderdag 15 september 2011 10:53

Volgens mij wordt deze app geinstalleerd buiten de market om. Als je dat soort apps wilt installeren moet je dus eerst bij instellingen aanvinken dat je je bewust bent van het risico. Alleen mensen die verstand hebben van wat ze doen zouden dit moeten aanvinken.

Door watercoolertje, donderdag 15 september 2011 11:01

Apps in de market worden gereviewed door gebruikers zelf

En bij voldoende negatieve meldingen gaat Google kijken en eventueel de app uit de market halen (en bij extreme gevallen zelfs deinstalleren van de app op elke telefoon met de market geinstalleerd)...

Door Hadespuiter, donderdag 15 september 2011 11:26

Een "als het kalf verdronken is dempt men de put" handelswijze dus. Als een x-hoeveelheid mensen slachtoffer zijn geworden van een bepaalde app en hier melding van maken dan pas gaat Google eens kijken.
Ik heb toch liever dat ze vooraf even een kijkje nemen zoals Apple doet.

Door watercoolertje, donderdag 15 september 2011 12:12

Door MrAngry, donderdag 15 september 2011 11:18

Gebruikers kunnen deze app alleen installeren als ze de instelling om non-market apps te kunnen installeren aanvinken. Die staat standaard uit, dus wat dat betreft heb je geen punt. Ik vraag me wel af of het vaak voorkomt dat gewone gebruikers deze instelling aanzetten. Misschien dat er best een big fat warning bij mag, of een timeslot: enable non market applications for 30 minutes oid.

Door joep doei, donderdag 15 september 2011 11:18

Je moet als gebruiker aangeven als je ook apps van andere locaties, dus buiten de market om, wil installeren., Standaard kan dat niet. En als je denkt dat je slim genoeg bent om dat te doen dan zou je ook slim genoeg moeten zijn om te weten wat je wel of niet moet installeren.

Door Andros, donderdag 15 september 2011 10:46

Op dit soort momenten ben ik inderdaad blij bij de Rabo te zitten, ook al werken die met zo'n stom kastje. Je moet toch iets verzinnen om je klanten toegang te geven en dan heb ik liever een dedicated systeem.

Door Bill_E, donderdag 15 september 2011 10:49

Gisteren anders een versie voor de Rabobank gedeinstalleerd op een XP pc die beveiligd was met AVG.. Althans het zat ook in de MBR, je kreeg gewoon een net scherm over die van de Rabobank heen dat je nogmaal je code in moet voeren...

Door sickyb, donderdag 15 september 2011 11:33

Het is mij hier volslagen onduidelijk wat je gedeinstalleerd hebt. Ik neem aan dat je bedoeld dat de PC waar je het over hebt geinfecteerd was met een virus die via de hostfile de gebruiker omleid naar een fake-rabobank site ?

Door watercoolertje, donderdag 15 september 2011 10:51

Op dit soort momenten ben ik inderdaad blij bij de Rabo te zitten

Ik ben gewoon blij dat ik heb leren lezen op school zodat ik dit soort malware al niet installeer (gewoon door te lezen wat het doet)

[Reactie gewijzigd door watercoolertje op donderdag 15 september 2011 10:52]

Door Andros, donderdag 15 september 2011 11:18

Dat uiteraard ook maar er lopen genoeg mensen op deze planeet die niet zo helder zijn. Daarnaast lijkt het alsof de ING constant onder een hackersaanval zit. Als ik de nieuwsberichten hier bij hou, regelmatig is het raak met phising, site gehackt, nepsites, tancodes en ga zo maar door. Vergeleken met de andere banken komen dit soort dingen erg veel voor bij de ING. Is daar een bepaalde reden voor?

Door watercoolertje, donderdag 15 september 2011 12:14

Het is de bank met de meeste gebruikers in NL dat zou een rede kunnen zijn, of iig mee spelen

Daarbij is een SMS wat makkelijker te onderscheppen dan een code die handmatig ingevoerd meot worden...

Maar als je iemand op de PC (daar krijg je namelijk een melding dat het nodig is) zo ver krijgt een app op de mobiel te laten installeren, kan je diezelfde persoon ook wijsmaken een code in te voeren... Dus veel moeilijker zal het wel niet zijn.

Door robvanwijk, donderdag 15 september 2011 10:46

Oorspronkelijk was het idee van TAN-codes het gebruik van two-factor authentication: op de computer geef je je (username en) password in, daarna bevestig je via de code die op je mobiel binnenkrijgt. In principe een prima systeem.

Door het onderscheppen van tan-codes kunnen kwaadwillenden overschrijvingen autoriseren namens een gebruiker. Dan moeten wel eerst de gebruikersnaam en het wachtwoord onderschept zijn.

Maar ja, met de uitvinding van de smartphone is dat opeens een heel ander verhaal geworden...

Door iq654, donderdag 15 september 2011 10:49

Het mooie van Android was het open karakter, maar voor mij begint dit langzaam toch een minpunt te worden.

Door HarmoniousVibe, donderdag 15 september 2011 11:14

Juist, want op Windows (Mobile), iOS of OS X (of Linux) kan geen malware worden geinstalleerd die luistervinkt?

Het hele idee van TAN-codes (en zo'n Rabo/ABN-reader), is, zoals robvdijk al aangeeft, two-factor authentication. Dit is gedaan onder de veronderstelling dat de tweede factor niet, of in ieder geval veel minder makkelijk compromitteerbaar is. Het voordeel van TAN via SMS is dat je niet zo'n apparaatje nodig hebt, maar alleen je mobiel bij je moet hebben. Gebruikersgemak dus. Echter is die veronderstelling veel minder valide dan vroeger.

Derhalve is een Rabo-reader veiliger. Immers, zo'n ding heeft totaal geen connectivity of iets om dingen op te installeren. Zo'n reader is in realistische zin dus NIET compromitteerbaar.

Ik snap ook niet dat er in de reacties zo wordt gefocust op OS'en. 'The operative word' in de titel is TAN-codes. Niet Android. Dat Android nu wordt misbruikt legt slechts het echte probleem bloot, namelijk het structurele beveiligingsgat dat er zit in het hele systeem van TAN-codes. Dáár gaat het om.

Stel nu er zit een gat in de snelweg en er rijdt een Renault in dat gat en de bestuurder verongelukt. Dan kunnen we het met z'n allen gaan hebben over de veiligheid van zo'n Renault en dat is allemaal best, maar niet als we daarmee de echte oorzaak negeren, namelijk dat gat in de snelweg. De volgende keer is het gewoon een Volvo die erin rijdt hoor.

[Reactie gewijzigd door HarmoniousVibe op donderdag 15 september 2011 11:20]

Door robvanwijk, donderdag 15 september 2011 12:43

Dit is gedaan onder de veronderstelling dat de tweede factor niet, of in ieder geval veel minder makkelijk compromitteerbaar is.

Kleine correctie: het idee is dat de twee factoren onafhankelijk van elkaar zijn. Het cruciale punt is dat de ene factor (bijvoorbeeld username/password) volledig onderuit kan gaan (bijvoorbeeld via een phishing site), maar dat de tweede factor dan nog volledig onaangetast is (de phishing site kan niet bij je mobieltje).
Als je bijvoorbeeld inlogt met een password (waarna je read-only toegang hebt tot je gegevens) en een tweede password in moet voeren om geld over te kunnen maken, dan is dat geen two-factor! Een phishing-site (of spyware, wat dat betreft) die de ene kan vragen / onderscheppen, zal zeer waarschijnlijk ook de tweede te pakken kunnen krijgen, zonder veel extra moeite te moeten doen.

Door demilord, donderdag 15 september 2011 11:27

Het mooie van Android was het open karakter, maar voor mij begint dit langzaam toch een minpunt te worden.

Als je een app installeerd vraagt ie als het goed is welke informatie ie wil doorusturen en wat ie wel en niet mag.. Dus het is je eigen verantwoordelijkheid, en als je niet jailbreakt en logish nadenkt dat een spelletje je locatie gegevens willen doorsturen en al je persoonlije data mag benaderen, ja dan moet er toch een belletje gaan rinkelen

Door blouweKip, donderdag 15 september 2011 12:17

domme gebruikers? dat is een minpunt wat je bij ieder product zult aantreffen toch?

Door soufianemrabet, donderdag 15 september 2011 12:22

Zover ik weet is BB-os helemaal gesloten.

´´De Android-app, die niet in Market is verschenen, is niet de eerste mobiele variant van SpyEye. Eerder verschenen al versies voor Symbian en BlackBerry.´´

Door kwarkiekwark, donderdag 15 september 2011 10:51

Alles heeft zijn voordelen en nadelen, zowel Android als iOS, laten we gelijk de discussie sluiten anders gaat de eeuwige discussie weer van start.

[Reactie gewijzigd door kwarkiekwark op donderdag 15 september 2011 11:02]

Door demilord, donderdag 15 september 2011 12:53

Alles heeft zijn voordelen en nadelen, zowel Android als iOS, laten we gelijk de discussie sluiten anders gaat de eeuwige discussie weer van start.

Inderdaad, zoals Windows en OSX allen zijn voor en nadelen heeft..

Door kenneth, donderdag 15 september 2011 10:53

Zouden er nou heel veel mensen zijn die én expliciet unknown sources toestaan voor installatie van apps én zo dom zijn spyware te installeren?

Door ari, donderdag 15 september 2011 11:28

Ja. Zodra ze denken dat er iets leuks tegenover staat (gratis game, grappige applicatie) dan denken veel te veel mensen niet meer na over de beveiliging.

Gelukkig zijn er ook nog mensen die wel na kunnen denken, maar zo lang niet iedereen dat doet dan zal dit soort troep blijven bestaan (net zoals dat spam nog steeds loont).

Door Texamicz, donderdag 15 september 2011 14:06

Datzelfde heb je bij iOS.. Men gaat jailbreaken om illegaal apps erop te zetten. En na een jailbreak ben je veel vatbaarder..

Door kwarkiekwark, donderdag 15 september 2011 10:54

Je weet het niet Tweakers proberen altijd alles uit toch?

Door Postjuh, donderdag 15 september 2011 11:00

Snap de ophef niet helemaal. Als jij een tan code ontvangt via sms dan ben je op dat moment bezig met een betaling en dus gebruik je hem ook meteen. Daarna is die tancode nutteloos.

En inderdaad: een tan code alleen is niet genoeg, login en ww zijn ook vereist.

Door kmf, donderdag 15 september 2011 11:19

"uw ingevoerd tan-code is ongeldig, klik hier om een nieuwe code aan te vragen"

Door Postjuh, donderdag 15 september 2011 11:23

Tja die melding kan ik me haast niet voorstellen in die tijd die er voor staat van ontvangst van een TAN code en gebruiken van de TAN code.

Door Texamicz, donderdag 15 september 2011 14:07

"Deze tan-code is reeds eerder gebruikt, wij waarschuwen u op enige vorm van malware of phising informeer hierbij bij bla bla bla"

Ook wel een oplossing

Door ari, donderdag 15 september 2011 11:31

Als je zelf iets overmaakt dan is dat niet zo'n heel probleem. Wanneer een kwaadwillende echter achter je login en wachtwoord is gekomen, dan wordt geld overmaken opeens heel makkelijk...

En wat betreft de login: die bestaat vaak uit een (combinatie van) voor- of achternaam, en wachtwoorden zijn helaas ook vaak hetzelfde. En net als met spam hoeft je hack maar in 0,1% van de gevallen effectief te zijn om te lonen...

« 1 2 3 »

Op dit item kan niet meer gereageerd worden.

11:01	EURid trekt bijna negenduizend .eu-domeinnamen in
10:23	IDF: Intel introduceert 710-serie ssd's

Nieuws I/O

Shortcuts

Categorieën

Lees meer over

Gerelateerde content

Reacties

27-05 Nieuws

00:38 Productreviews

06:44 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

07:24 Reacties

07:26 Forum

25-05 Gesponsorde acties

01:46 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines