Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tweaker maakt onofficiŽle Android-app ING Bank

Tweaker WeeJeWel heeft een Android-applicatie gemaakt om saldo en transacties van een ING-rekening mobiel op te vragen. ING heeft geen eigen Android-applicatie. De bank is niet blij met het initiatief en raadt klanten af de app te gebruiken.

De Android-app, die sinds donderdag in de Android Market staat en op het moment van schrijven minder dan vijftig keer was gedownload, is gebaseerd op een php-script waarmee het saldo op het bureaublad van een Mac OS X-desktop of -laptop kan worden gezet. De app stuurt inloggegevens en wachtwoorden niet langs een eigen server, maar communiceert rechtstreeks met ING-servers, reageert tweaker WeeJeWel tegenover de redactie.

ING is niet blij met de app, maar onderzoekt het nog, zegt woordvoerder Bas Heijbroek tegen Tweakers.net. "We raden klanten altijd af dit soort apps te gebruiken en alleen te internetbankieren via de officiële kanalen. Dat is altijd het veiligst." ING liet eerder soortgelijke iPhone-apps uit de App Store verwijderen. "We onderzoeken nog of we dat nu ook gaan doen."

WeeJeWel is bereid zaken aan te passen, maar wil niet zomaar zijn app offline halen. "Het hangt af van hun argumenten. Ik ben slechts een bijklussende student met weinig budget. Ik zie wel." De gratis app werkt op Android 2.1 en hoger en is volgens WeeJeWel 'even veilig als internetbankieren via de browser'.

WeeJeWel heeft zijn app gebaseerd op een php-script waarmee het actuele saldo op de desktop van een Mac OS X-machine kan worden gezet. Om de Android-app native te laten werken, verving WeeJeWel cURL door HttpClient en phpQuery door jsoup. De app is gratis en vereist geen speciale machtigingen.

Onofficiële ING-app Oranje Leeuw voor Android Onofficiële ING-app Oranje Leeuw voor Android

Door Arnoud Wokke

Redacteur mobile

24-03-2011 • 12:56

151 Linkedin Google+

Reacties (151)

Wijzig sortering
En dit is dus een grote fout die veel mensen maken.

"Aan mijn username en wachtwoord hebben ze toch niks", is helaas niet waar.

Men kan TAN-codes heel makkelijk omzeilen door een Paypal aan te maken, die te linken aan je ING. Paypal maakt vervolgens een paar cent over naar die rekening, en in de beschrijving van de transactie staat dan een code. Als je die weer invult bij Paypal, kan je gewoon met Paypal overal betalen, en dat wordt (vrijwel) direct van je ING afgetrokken.

De kwaadwillende heeft dus 'enkel toegang tot je transacties', maar linkt vervolgens wel een Paypal aan je ING en trekt vervolgens je rekening leeg. En dat zonder een enkele TAN code.

::edit:: zie ook: http://www.crimesite.nl/c...-tan-beveiliging-ing.html

[Reactie gewijzigd door Lassie dutch op 24 maart 2011 13:15]

Dus jij gooit je papieren overschrijfformuliertjes nog gewoon in de tnt-brievenbus, die urenlang onbewaakt op straat staat, en denkt dat dat wel veilig is? En als ik de types zie die voor tnt-post werken, vertrouw ik mijn bankzaken liever aan een SSL verbinding toe.
ach zolang hij maar geen Sony app maakt dan komt 't goed
Dat valt nog te bezien.
Deze app is te classificeren als bijzonder onveilig, met name gezien het aanbied om zowel username als password te onthouden voor de gebruiker.
ING verstuurt namelijk de betaalbevestiging voor transacties via SMS naar een door de gebruiker opgegeven mobiel telefoonnumer (tan-SMS).

Even uitgaande van een zeer realistisch scenario: deze app wordt op een Android telefoon gebruikt, en dat is tevens de telefoon is waarop de gebruiker zijn tan-SMS codes ontvangt. In dat scenario is - als "onthoud username/password" aanstaat - alleen de diefstal (of zelfs tijdelijk 'ongemerkt lenen') van zo'n telefoon voldoende om de betreffende bankrekening(en) leeg te kunnen halen. Zo iemand is namelijk met "onthoud username/password" direct binnen op de rekening, en kan vervolgens met hetzelfde toestel ook meteen de transacties doen.

Echter, ook als alleen "onthoud password" aanstaat is dit al zeer onveilig. Bij password-resets wordt het nieuwe password namelijk ook naar de betreffende mobiele telefoon verzonden, en 1 van de benodigde variabelen om een password-reset aan te vragen is: de username. De username moet dus ook geheim blijven, wat ING overigens zelf ook aangeeft.

Argeloze eindgebruikers moeten in deze echt tegen zichzelf beschermd worden.
Het zou me dus niet verbazen als ING ingrijpt.

[Reactie gewijzigd door Cheetah op 24 maart 2011 14:38]

De data wordt wel degelijk via SSL verstuurd. En ja, als je het wachtwoord opslaat is er een risico dat een androidkenner je wachtwoord weet te achterhalen. Er staat niet voor niets "onveilig!" bij.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True