Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties, 21.621 views •
Submitter: hypetrax

De Android-applicatie van ABN Amro, waarmee klanten geld kunnen overmaken, bevatte een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte.

ABN Amro logoDe ABN Amro-app voor Android controleerde wel of er een ssl-certificaat was, maar niet of de domeinnaam waarvoor het certificaat was uitgegeven wel juist was. Dat schrijven studenten van de Universiteit van Amsterdam in hun onderzoekspaper. Het paper stamt al uit december, maar is nu pas openbaar gemaakt door de universiteit.

Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te ontsleutelen. Daarvoor zou hij of zij eerst de internetverbinding van de gebruiker moeten onderscheppen via een man in the middle-aanval, bijvoorbeeld door een malafide wifi-hotspot op te zetten.

Op 17 december, enkele dagen nadat de studenten hun bevindingen meldden aan de bank, werd een gepatchte versie uitgegeven. Gebruikers die hun app niet hebben bijgewerkt, zijn echter nog steeds kwetsbaar, tekent de universiteit aan. Het is onduidelijk waarom de bank klanten met een onveilige versie van de applicatie niet blokkeert. De bank was niet bereikbaar voor commentaar.

Het is het tweede beveiligingsprobleem bij ABN Amro in een halfjaar tijd. In augustus bleek het mogelijk om het apparaat dat wordt gebruikt om de identiteit van de klant te controleren, te kraken. Transacties konden worden gemanipuleerd, waardoor kwaadwillenden geld zouden kunnen doorsluizen naar hun eigen rekening. Vorig jaar bleek dat de bankier-app van ING het ssl-certificaat van de bank niet controleerde.

Reacties (48)

Reactiefilter:-148047+126+212+31
Moderatie-faq Wijzig weergave


LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True