Mobielbankieren-app ING controleerde ssl-certificaat bank niet - update - Tablets en telefoons - Nieuws

De app voor mobiel bankieren van ING Bank controleerde maandenlang het ssl-certificaat van de bank niet. Daardoor zou een man-in-the-middle-aanval mogelijk zijn geweest. Volgens de bank zijn er geen gevallen van fraude via de app bekend.

De app controleerde het ssl-certificaat van de bank niet, waardoor hackers een man-in-the-middle aanval konden uitvoeren. Dat meldt tv-programma EenVandaag op basis van bevindingen van beveiligingsonderzoeker Floor Terra. Of er inderdaad een aanval had kunnen worden uitgevoerd, lijkt onzeker. ING heeft meerdere lagen van encryptie ingebouwd.

De ING Bank heeft geen fraude geconstateerd met de app, zegt de bank in een reactie. "Sinds de lancering in november 2011 zijn er geen fraudegevallen geconstateerd. Natuurlijk willen we dat dit zo blijft. Een team van specialisten werkt iedere dag aan de verdere ontwikkeling van onze dienstverlening via de Mobiel Bankieren App om de veiligheid en het gebruiksgemak te kunnen blijven garanderen."

Inmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd. Hoogleraar Computerbeveiling Bart Jacobs van de Radboud Universiteit Nijmegen snapt niet dat dit lek maandenlang in de app kon zitten. "Het is een blamage dat deze fout gemaakt is. Dit is een hele elementaire beveiliging waar niet aan gedacht is. Hierom wordt de ING in securitykringen hard uitgelachen." De ING-app kwam begin november uit voor iOS en Android.

Update, 16:08: Zoals tweaker Lupo1989 opmerkt, zit er meer beveiliging in de app dan alleen de ssl-verbinding. "Hierdoor kan er een man in the middle gedaan worden maar de informatie is alsnog onleesbaar doordat er twee encrypties erover heen zitten." It-consultant Mount Knowledge concludeerde eerder dat de encryptie er solide uitzag. "Er wordt niet vertrouwd op SSL of TLS. In plaats daarvan gebruikt ING een extra encryptielaag waarvoor het wachtwoord wordt afgesproken via het SRP protocol. Ook genereert elk mobiel device een eigen profileId en een public/private sleutelpaar." De enige theoretische kwetsbaarheid zat volgens die analyse in het registratieproces.

Reacties (112)

Lupo1989 21 maart 2012 15:34

Hoezo fraude? Ten eerste SSL is misleid waardoor het verkeerd geconnect kan worden gemaakt. Maar de ING app wordt niet vertrouwd alleen op SSL en TLS. Hierdoor kan er een man in the middle gedaan worden maar de informatie is alsnog onleesbaar doordat er twee encrypties erover heen zitten.

Quote: "Het authenticatie protocol ziet er goed doordacht uit. Er wordt niet vertrouwd op SSL of TLS. In plaats daarvan gebruikt ING een extra encryptielaag waarvoor het wachtwoord wordt afgesproken via het SRP protocol. Ook genereert elk mobiel device een eigen profileId en een public/private sleutelpaar."
Bron: http://www.mountknowledge...-bankieren-authenticatie/

Conclusie: Door het SRP protocol is het onleesbaar. Er is 1 situatie dat een man-in-the-middle slaagd en dat is pas als deze SRP ook gekraakt wordt. De informatie die nodig is is opgeslagen op de mobiel en is aangemaakt bij het registreren van de ING app.

Edit: Ik moet als nog toegeven dat als je de app net geinstalleerd hebt wel gevoelig bent voor een man-in-the-middle. Op het begin moet je registreren. Dan is er nog geen sprake van een SRP protocol connectie. Hierdoor is het registreren van je app op te vangen. Er zal dan een key voor de SRP protocol kunnen onderscheppen. Om uiteindleijk de hele ING app verbinding te kunnen kraken. Deze situatie lijkt me sterk, maar het moet mogelijk zijn.

[Reactie gewijzigd door Lupo1989 op 22 juli 2024 18:05]

YopY @Lupo1989 • 21 maart 2012 16:06

SSL is niet gehacked; de validiteit van het certificaat kan simpelweg niet 100% vastgesteld worden. Of, misschien beter gezegd, kon niet, aangezien er een update uitgebracht is (staat ook in het artikel).

Lupo1989 @YopY • 21 maart 2012 16:19

Bedankt, klopt dat het niet gehacked is. Heb het veranderd

Orion84 Admin General Chat / Wonen & Mobiliteit @Lupo1989 • 21 maart 2012 16:02

Interessant. Die blogpost maakt al melding dat er geen SSL verificatie plaatsvindt. In feite is dit hele verhaal dus gewoon oud nieuws...

Thralas @Lupo1989 • 21 maart 2012 16:04

Als ik het me juist herinner wordt de registratiedata (al dan niet indirect) encrypted met een public key van ING. Je laatste scenario is dus ook geen probleem, de rest van je stellingen kan ik ook bevestigen.

Barend 21 maart 2012 15:03

Wat een stemmingmakerij weer.

Gemakshalve wordt er overheen gestapt dat de normale (desktop/tablet) web browser ook geen SSL pinning doet. Chrome doet het voor het *.google.com certificaat, daardoor kwam het DigiNotar debacle aan het licht. In navolging daarvan zal Safari wel kijken of het Apple certificaat het juiste is en IE voor Microsoft, maar er is tot op heden geen universele manier waarop de eigenaar van een willekeurige website kan aangeven welk SSL certificaat het juiste is (er zijn wel voorstellen, maar nog geen standaard).

In geval van de desktop browser ligt de verantwoordelijkheid hiervoor bij de gebruiker. Als je op het slotje klikt kun je de fingerprint van het certificaat opvragen en dan kun je -in theorie- via een ander kanaal (bijvoorbeeld telefonisch) nagaan of je niet met een MITM te maken. Ik heb zo'n donkerbruin vermoeden dat het aantal EénVandaag redacteuren dat dit doet op de vingers van geen hand te tellen is.

Conclusie: conventioneel Internetbankieren al tien jaar lang gevoelig voor fraude. Morgen met chocoladeletters in de krant?

Orion84 Admin General Chat / Wonen & Mobiliteit @Barend • 21 maart 2012 15:35

Dat is dan ook de verantwoordelijkheid van de gebruiker. Ik ben het met je eens dat veel gebruikers niet verder kijken dan of er een groen slotje (of net wat) wordt afgebeeld, wat inderdaad geen waterdichte garantie is.

Bij zo'n app kan je het als gebruiker echter niet checken, dus is het des te kwalijker als de app het zelf niet checkt. Zeker omdat juist mobiele apps eerder via een onbetrouwbaar netwerk gebruikt zullen worden dan de browser op een thuis PC.

Waar ik wel benieuwd naar ben, is of er daadwerkelijk een realistische kwetsbaarheid was voor MitM, of dat er op een hogere laag alsnog authenticatie van de server plaats vond waardoor MitM niet mogelijk is.

Het wordt mij niet duidelijk of Floor Terra ook succesvol een aanval heeft kunnen testen, of enkel het gebrek aan SSL verificatie heeft vastgesteld en vervolgens de conclusie trekt dat de boel vatbaar is voor een MitM attack.

Barend @Orion84 • 21 maart 2012 15:46

Zo'n applicatie is met SSL-pinning absoluut beter dan zonder. Wat mij betreft valt dat inderdaad wel onder de zorgplicht van degene die de applicatie ter beschikking stelt, dus beter laat dan nooit.

Het irriteert me dat er in de berichtgeving nu wordt gesuggereerd dat het hele ding niet deugt terwijl SSL-pinning vooralsnog eerder uitzondering is dan regel (met andere woorden het is volstrekt marktconform). Zou er fraude zijn gepleegd dan zou ING de getroffenen schadeloos hebben gesteld. Er is geen fraude gepleegd. Niks aan de hand dus.

Het staat me ook bij dat die app een vrij laag plafond heeft voor wat je in een dag kan overboeken, 1000 euro ofzo? Als ING andere prioriteiten had (waarschijnlijk time-to-market, het eeuwige probleem bij software ontwikkeling en dubbel bij dingen met marketingwaarde) is het bij zo'n schadebedrag volstrekt te rechtvaardigen om een de mitigation naar een latere release te schuiven. Imagoschade is een ander verhaal, maar zoals je ook nu weer ziet heeft de realiteit daar weinig mee te maken, dus daar kun je amper op begroten.

[Reactie gewijzigd door Barend op 22 juli 2024 18:05]

ronaldvr @Barend • 21 maart 2012 15:37

Tenzij je natuurlijk iets als perspectives installeert....

With Perspectives, public “network notary” servers regularly monitor the SSL certificates used by 100,000s+ websites to help your browser detect “man-in-the-middle” attacks without relying on certificate authorities.

YopY @ronaldvr • 21 maart 2012 16:03

Die scrapet blijkbaar websites, geen specialistische apps die toevallig ook van SSL gebruik maken.

Floort

Privacy

21 maart 2012 15:16

De app zou ook niets hebben gemerkt als bijvoorbeeld het rekeningnummer van de gegadigde werd gewijzigd.

Dit heb ik zelf niet getest in ieder geval.

blorf 21 maart 2012 17:01

De app voor mobiel bankieren van ING Bank controleerde maandenlang het ssl-certificaat van de bank niet. Daardoor zou een man-in-the-middle-aanval mogelijk zijn geweest

Misschien zie ik het verkeerd, maar hoe belangrijk is de beveiliging aan de client kant en hoe groot is het risico als dat niet volledig correct blijkt te zijn?
Dat een app bepaalde zaken niet controleert kan gebeuren, lijkt mij. Ook al is het door ING zelf ontwikkeld, meer mensen kunnen apps maken of ermee knoeien en er zelfs bewust voor kiezen om bepaalde beveiligingsmaatregelen achterwege te laten. Maar volgens mij betekent dat niet dat de ING-bank ineens slecht beveiligd is wat betreft het telebankieren. Er ontbreekt hoogstens een extra beveiligingsmaatregel die bepaalde client-kenmerken controleert en mogelijk onbetrouwbare programma's bij voorbaat al uitsluit. Maar iedereen moet zoiezo de echte (server-side) beveiliging nog passeren.

[Reactie gewijzigd door blorf op 22 juli 2024 18:05]

Joop @blorf • 21 maart 2012 18:19

Nee dit zie je toch verkeerd denk ik.

De app is het punt waar de gebruiker zijn credentials in voert (username/rekening nummer, (one time) password/code, evt pasnummer). Dit zijn de gegevens die daarna alléén maar naar de echte servers van de bank mogen worden gestuurd.

Met deze gegevens kun je namelijk toegang krijgen tot een rekening, of een overboeking doen. Als iemand nou een nep-ING server op zet en zorgt (bijvoorbeeld via DNS) dat de verzonden data naar die nep server wordt gestuurd (=man in te middle) kan hij misbruik maken. Dit kan worden voorkomen als de app controleert of de server het geldige certificaat heeft van de echte ING server.

Door dit niet te controleren wordt het risico op een succesvolle aanval zeker vergroot.

WillemsTM 21 maart 2012 14:36

Dat klinkt wel erg slordig. Wat ik me wel afvraag, wat gebeurt er met de mensen die niet updaten. Zijn die nog steeds vatbaar voor MITM attack.

DaSt1986

@WillemsTM • 21 maart 2012 14:37

Ik gok dat er een versiecheck uitgevoerd wordt bij het inloggen en dat kwetsbare versies niet meer werken. Zo zou ik het in elk geval doen als software ontwikkelaar.

Gert @DaSt1986 • 21 maart 2012 14:39

Maar dan kan de MITM gewoon de juiste versie meesturen, daarom zit ie daar in het midden, om de boel aan te passen.

Jasper Janssen @Gert • 21 maart 2012 14:53

Alleen als meteen de eerstvolgende keer dat je hem gebruikt je al een mitm ertussen hebt zitten.

The_Worst @WillemsTM • 21 maart 2012 15:13

Zoals inderdaad gezegd, omdat de app niet controleert of die verbonden is met de bank blijven de mensen kwetsbaar. Aangezien het niet mogelijk is om apps verplicht te updaten, op Android niet in elk geval, blijven ze kwetsbaar en is het belangrijk dat men zelf update-to-date blijft.

Konjo 21 maart 2012 14:41

En dit is nu juist de reden dat ik altijd huiverig ben voor dit soort nieuwe bijna nutteloze experimenten van banken. Ze doen maar wat.

sygys @Konjo • 21 maart 2012 15:06

ik heb al geregeld gebruik gemaakt van dit in jou ogen "nutteloze app"

je kunt namelijk je hele loon op je spaar rekening zetten (meer rente) en alleen als je iets nodig hebt een paar euro gemakkelijk over zetten naar je rekening. zo voorkom je ook nog eens skimmen

Daarnaast als me geld op is op mijn rekening en ik heb net getankt dan is het toch wel handig als ik in de shop sta dat ik even wat geld over kan zetten zodat ik tenminste weer verder kan rijden

Met de rabobank heb je de reader nodig wat zwaar onhandig is onderweg. mobiel maar ook met laptop.

Enfer @sygys • 21 maart 2012 15:15

Even inhakend op je Rabo-verhaal.. Met de Rabobank mobiele app kun je ook gewoon zonder reader saldo overboeken tussen je eigen rekeningen hoor, niets geen reader of iets dergelijks voor nodig. Ook kun je gewoon geld overboeken naar 'bekende rekeningen' (rekeningen waar je afgelopen x periode geld naar over geboekt hebt) zonder reader. Alleen als jij geld over wilt boeken naar een vreemde rekening, dan heb je een reader nodig.. Wat maar goed is ook, stel er word ooit een hack uitgevoerd op de mobiele app, zullen hackers alsnog niet je geld over kunnen sluizen naar hun rekening, omdat ze dan de reader nog nodig hebben.. Voorkomen is beter dan genezen he!

sygys @Enfer • 21 maart 2012 15:23

hmm dat is inderdaad een interessant verhaal! ik heb een tijdje de rabo app gebruikt maar eraf gegooid omdat ik altijd de reader nodig had.

Maar inderdaad zo werkt het wel slim. zou ing ook moeten doen! zal eens een feedback berichtje sturen hierover. hierdoor wordt het wel een stukje veiliger!

misterbennie @Konjo • 21 maart 2012 14:59

Bijna nutteloos?
Experiment?
Ik schaar deze opmerkingen even onder stemmingmakerij.

Ik moet zeggen dat ik als ING klant razend blij met deze App ben.
Dat deze fout erin zit is natuurlijk een blunder, maar waar gewerkt wordt, worden fouten gemaakt.

Daar deze fout niet bij de gebruiker maar bij de bank zit neem ik aan dat een klant nooit de dupe zal zijn geweest wanneer zijn/haar rekening geplunderd zou zijn.
Maar dat is even een aanname.

Dutchrevenge @Konjo • 21 maart 2012 15:13

Volgens mij heeft juist de ING een reclame lopen waarbij wordt aangegeven dat iedereen op zijn/haar manier kan bankieren.

Met een app op de smartphone of via de ouderwetse overschrijvingsformulieren.

Je bent tot niets verplicht om hiervan gebruik te maken.

Hazurr 21 maart 2012 14:36

Het is vast niet heel toevallig dat de iOS versie een patch heeft gekregen vanochtend.

Wannial @Hazurr • 21 maart 2012 14:37

Dat staat dan ook gewoon in de tekst

Inmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd.

sygys @Wannial • 21 maart 2012 14:55

MAar is voor een man in the middle aanval niet eerst een hacker nodig die een signaal opvangt wijzigt en door stuurt. dit zal ook niet zomaar kunnen denk ik.

Al moet ik wel zeggen dat je met een wachtwoord van 5 cijfers gewoon geld over kan maken zelfs zonder hack. als iemand een trojan op je android weet te zetten en het wachtwoord ontfutseld dan kan zon virus gewoon geld naar een bank rekening over maken zonder tan code. echt veilig is het in elk geval niet!

By the way, de laatste versie is nog steeds van 1-3-2012 in de android store... ik heb nog geen update gezien.

[Reactie gewijzigd door sygys op 22 juli 2024 18:05]

Orion84 Admin General Chat / Wonen & Mobiliteit @sygys • 21 maart 2012 15:00

Op publieke WiFi netwerken (vaak gebruikt door smartphone eigenaars) is het technisch gezien vrij eenvoudig om een MitM attack uit te voeren.

Wat dat betreft kan je internetbankieren beter beperken tot vertrouwde en beveiligde WiFi netwerken, of de 3G verbinding.

[Reactie gewijzigd door Orion84 op 22 juli 2024 18:05]

Sfynx @Orion84 • 21 maart 2012 15:08

Op publieke WiFi netwerken (vaak gebruikt door smartphone eigenaars) is het technisch gezien vrij eenvoudig om een MitM attack uit te voeren.

Allemaal irrelevant als de app even de moeite neemt om het certificaat te controleren. Het hele idee is dat je het netwerk niet hoeft te vertrouwen, je hebt nooit de hele keten naar de bank onder jouw eigen beheer.

[Reactie gewijzigd door Sfynx op 22 juli 2024 18:05]

Orion84 Admin General Chat / Wonen & Mobiliteit @Sfynx • 21 maart 2012 15:16

Joh, je meent het

De opmerking waar ik op reageerde was dat het niet controleren van het certificaat niet direct een probleem is, omdat je niet zomaar een MitM attack kan uitvoeren. Terwijl dat dus op een onveilig netwerk wel degelijk een reëel risico is.

En smartphone eigenaars zullen ongetwijfeld veel gebruik maken van 3G, maar ook genoeg van publieke WiFi netwerken. Zeker in het buitenland waar je data niet gratis is, maar nu ook in NL databundels steeds vaker gelimiteerd worden, wordt het steeds interessanter om WiFi te gebruiken.

Soldaatje @Orion84 • 21 maart 2012 15:40

Maar dat is dus totaal niet relevant van welk netwerk gebruik wordt gemaakt, het zou altijd veilig moeten en kunnen zijn.

humbug @Soldaatje • 22 maart 2012 08:07

Natuurlijk maakt het onderliggende netwerk wel uit. De eisen aan beveiliging op een intern bedrijfsnetwerk zijn totaal anders dan die op een open netwerk. Daar kun je als ontwikkelaar op inspelen.

Met smartphones en publieke diensten weet je dat je een hoge mate van risico loopt. Je kan dat risico, naast het aanscherpen van beveiliging, ook verminderen door diensten niet te leveren op onbetrouwbare netwerken (zoals windows bv standaard diensten uitzet op Openbare netwerken). Het niet aanbieden van diensten in gevaarlijke situaties is net zo'n logische keuze als het beveiligen van die diensten zodat ze toch aangeboden kunnen worden in die situatie.

Daarnaast is een stelling dat iets altijd veilig moet zijn een typisch voorbeeld van iemand met 0 werkervaring. Natuurlijk voor elk risico is een goede oplossing maar het probleem is het in de eerste plaats zien van het risico. Achteraf is het simpel, maar vooraf problemen voorspellen is een flinke uitdaging. Tel daarbij op dat mensen niet perfect zijn en fouten maken is het overduidelijk dat altijd veilig geen optie is. Vandaar ook dat de ING beveiligingslagen stapelt. Een fout in 1 laag leidt dan niet gelijk tot een onbeveiligde verbinding

supersnathan94

Apple
Apple iOS

@Orion84 • 21 maart 2012 15:03

vaak gebruikt door smartphone eigenaars

publieke wifi? nee hoor smartphone eigenaars die willen internetbankieren doen dat vaak via 3G

Anoniem: 211998 @supersnathan94 • 21 maart 2012 15:04

...heb je daar cijfers van?

actionInvoke @supersnathan94 • 21 maart 2012 15:26

moah, waarom zou ik zo'n absurd dure internet bundel nemen met geschifte voorwaarden terwijl ik overal wifi kan vinden? Ik tuff lekker met mijn smartphone alle wifi netwerken af, geen probleem.

H@rry @supersnathan94 • 21 maart 2012 15:28

Ik denk eerder dat mensen het geneens door hebben of ze via 3G of WFi verbinden zijn. "Hij doet het". Smartphone gebruikers willen internet bankieren, zal ze een zorg zijn of dat perse via 3G gaat.

SPee @supersnathan94 • 21 maart 2012 17:07

In de meeste gevallen zal je mobieltje voor de snelste verbinding kiezen.

Heb je eerder gebruik gemaakt van de (publieke) WiFi netwerk (en onthouden/automatisch verbinden) aanstaan, zal hij automatisch proberen te verbinden. Dit is bij veel gebruikers zo; is de standaard en erg gemakkelijk om zo op je (huis)netwerk in te loggen.

Bij hackers conferenties is het hierdoor niet aan te raden om gebruik te maken van de publieke WiFi netwerken in de omgeving. Er zullen altijd wel een paar hackers in de buurt staan die willen bewijzen dat mensen niet opletten en dus de naam overnemen. De telefoon ziet hun netwerk, denkt "die ken ik" en maakt ermee verbinding. En de hackers lopen te lachen omdat ze je netwerkverkeer zien

Plofkotje @SPee • 21 maart 2012 18:27

Als het een open netwerk is hoeven ze niet eens een MITM te doen, je stuurt toch al alles open de lucht in.

BeosBeing @sygys • 21 maart 2012 15:11

Dat is bij de Android-app van ABNAMRO niet anders. Je moet wel gebruik maken van een eDentifier (of eDentifier2) als je geld over maakt naar een rekeningnummer waarnaar je nog niet eerder geld overmaakte, maar naar rekeningen waarheen je al betaald had dus niet. Een hacker kan dus geen geld naar zichzelf over maken maar wel naar belastingdienst, zorgverzekeraar, bol.com of anderen waar je al eens geld naar overmaakte, bv met betalingsreferenties voor zijn eigen rekeningen. Als je er dan achter komt moet je bij die organisaties gaan achterhalen wie dat het is, en dan moeten die dus mee willen werken, hetgeen vanuit privacy-oogpunt niet evident is.

Of er bij ING nog een extra verificatie is voor 'vreemde' rekeningnummers weet ik niet. Het onderscheppen van een sms met tan-code kan natuurlijk wel op hetzelfde toestel.

Tozz @BeosBeing • 21 maart 2012 15:32

Het 'probleem' dat jij hier beschrijft is heel wat anders dan het probleem met de ING app. De ING app deed geen controle op het certificaat. Dat heeft niets met Identifiers, TAN codes of wat dan ook te maken.

SuperflipNL @sygys • 21 maart 2012 15:15

Je moet de app nog wel activeren met bevestigingscode die je krijgt als je inlogt op mijn.ing.nl. Zo kan ik niet mijn saldo opvragen met mijn 5 cijfers als ik dit invoer op de telefoon van mijn vriendin. Alleen op mijn eigen telefoon.

Dus als je man-in-the-middle wilt spelen, moet je dit weer terug koppelen naar de telefoon om de actie te laten uitvoeren.

[Reactie gewijzigd door SuperflipNL op 22 juli 2024 18:05]

koloko @sygys • 21 maart 2012 15:45

De tan code was gewoon nodig de laatste keer dat ik de app gebruikte om geld over te maken.

Anoniem: 382732 @koloko • 21 maart 2012 16:03

Je hebt toch alleen de TAN nodig als je de eerste keer de app activeert?

Dykam @sygys • 21 maart 2012 15:33

Zo´n trojan zou voorbij de beveiliging van Android moeten zitten. ING gebruikt een eigen toetsenbord, dus zou er letterlijk gepolst moeten worden naar drukpunten.

HA5H @sygys • 21 maart 2012 16:08

Ook al is iOS ook niet 100% waterdicht, toch is dit een van de redenen waarom ik eerder voor iOS kies dan voor Android. Puur omdat Android in mijn ogen veel kwetsbaarder is voor virussen waardoor aanvallen zoals hierboven beschreven voor het achterhalen van je 5-cijferige code veel makkelijker via Android kunnen geschieden, zou ik al kiezen voor iOS.

Niekfct @Wannial • 21 maart 2012 14:56

Voor Android zie ik echter alleen de versie uitgebracht op 1 maart jl, dus is er niks van een update te zien.

Misschien is het ook wel beter om de app te deinstalleren..

JDVB @Niekfct • 21 maart 2012 15:07

Blijft de vraag of dan ook het betaalverkeer onmogelijk gemaakt wordt.

Wanneer je de app voor de eerste keer gebruikt wordt deze via een code gemachtigd betalingen uit te voeren, hoe maak ik dat ongedaan?
Liefst kijk ik er alleen mee naar saldo en bij/afschrijvingen.

Daarnaast is het idee van tan-code via sms ondertussen achterhaald.
Ik kan met mijn mobiel prima internetbankieren zonder app, om vervolgens op diezelfde mobiel een tan-code te ontvangen om te betalen.

Er zal ongetwijfeld een virus voor een mobiel te schrijven zijn dat mobiel gaat bankieren bij de ING om vervolgens bij betaling de tan-code uit de sms te vissen.
ING moet gewoon over op calculator net als alle andere banken.
Leuk geprobeerd, alleen fundamenteel onoverkomelijk onveilig.

Daarnaast is het gehele bankensysteem aardig aan het veranderen, zie ook hier, ooit leverde het geld op om een betaalrekening te hebben, nu betalen we met zijn allen voor de vele gevallen van fraude en de topsalarissen. Virussen die via PC geld overmaken, skimmen, en wat al niet meer zorgen er op een manier voor dat geld in een oude sok nu de de voordeligste methode is geworden. Al met al een zorgwekkende trend die van gratis naar steeds duurder richting onhoudbaar loopt. De banken vergoeden fraude? Mis, wij betalen fraude.

Het principe van een bank was altijd vrij simpel. Mensen brachten hun geld naar de bank. Daar stond het veilig en de bank deed er nuttige zaken mee waardoor het geld vermeerderde. Tegenwoordig lijkt het welhaast omgekeerd. De betaalrekening levert meestal geen rente meer op en toen de Rabobank als eerste een vergoeding vroeg...

Het levert geen geld meer op en het staat er niet meer veilig, dat lijkt niet omgekeerd, dat is het wat mij betreft helemaal!

edit:
@ AirJonn
Jij leest nergens over virussen die rekeningen plunderen?
58.800 zoekresultaten (and counting)

Het idee was om twee verschillende apparaten onafhankelijk van elkaar te gebruiken om te kunnen betalen. Computer en daarnaast telefoon.

Dat 1 apparaat onveiliger is erkent de ING waardoor je met de app maximaal 1000 euro per dag mag overmaken om zo het risico te verkleinen. Het kopiëren-plakken van een tan-code van sms naar browser binnen 1 apparaat is vrij nutteloos en daarom ook geen noodzaak binnen deze app.

Dat dit binnen de app niet boven de 1000 euro kan wil niet zeggen dat de telefoon dit niet via andere manier (browser + eventueel aangepaste useragent) alsnog kan.
Ofwel het hele idee dat je twee verschillende apparaten moest gebruiken om te kunnen bankieren is daarmee achterhaald, een virus hiervoor gaat kinderlijk eenvoudig de rekening kunnen plunderen.
Ik kan slechts 1 reden bedenken die dit tegenhoudt, men weet het wachtwoord van de ing gebruiker niet wanneer deze niet zelf via de website inlogt.
Maar dit systeem misbruiken is wanneer dit via welke manier dan ook toch bekend wordt kinderlijk eenvoudig, zonder enige gebruikers input te misbruiken.

Daarmee is deze app eigenlijk een lapmiddel om te voorkomen dat men op zijn/haar mobiel gaat internetbankieren en om daarmee het achterhaalde tan-code systeem nog iets te kunnen rekken.

[Reactie gewijzigd door JDVB op 22 juli 2024 18:05]

AirJonn @JDVB • 21 maart 2012 15:14

ING is juist afgestapt van die calculator.

"Er zal ongetwijfeld" is niet bepaald een goed argument. Ik lees enkel over storingen en nu een potentieel gevaar, maar ik heb even gemist waar alle rekeningen geplunderd worden ?

Nee, ik loop liever niet altijd met zo'n ding op zak.

Soldaatje @JDVB • 21 maart 2012 15:45

En wie betaald al die identifiers?

arjankoole

Mobiele besturingssystemen
Beveiliging
Apple iOS
Apple

@Soldaatje • 21 maart 2012 16:37

En wie betaald al die identifiers?

Wij, als klant, uiteindelijk. Net zo goed als wij opdraaien voor de fraude/diefstal die gepleegd zou kunnen worden. Dan heb ik toch liever dat er geinvesteerd wordt in identifiers. Multi-factor authenticatie, enzo. Bottom line is dat waarschijnlijk een heel stuk goedkoper.

Rob Krauts @Hazurr • 21 maart 2012 14:37

Dat klopt

Inmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd.

Anoniem: 434945 @Hazurr • 21 maart 2012 14:56

Toevallig stond dat ook in de update omschrijving.. Iets met verbeteren verbinding met bank herinner ik me, snapte het niet maar nu is het duidelijk.

Uniciteit 21 maart 2012 14:36

Ik vraag me af hoe ze zulke dingen eigenlijk testen voor toch redelijk nieuwe apparaten. Internetbankieren via de PC hebben ze al wat ervaring mee, maar mobiel bankieren via je tablet of smartphone is allemaal nog vrij recent.

Schakelen ze (ook andere banken, zoals de Rabobank) externe teams in, of testen ze het allemaal intern?

Douweegbertje @Uniciteit • 21 maart 2012 14:42

Zal me niet verbazen als het allemaal uitbesteed is qua dev.
Maar dan nog, als je überhaupt fatsoenlijk zou testen zou je simpele dingen zoals dit (want dat is het gewoon helaas! ) tegen komen..
Dus dan ben ik het ermee eens wat op het einde in het artikel komt:

Hierom wordt de ING in securitykringen hard uitgelachen.

Amen $_/-\o_$

Voyage @Douweegbertje • 21 maart 2012 14:54

Het verbaast altijd hoe simpel mensen soms denken over bepaalde zaken. Btw, wie zegt dat ze de beveiliging van de app getest hebben? Misschien hebben ze uit kost besparende overwegingen besloten om de app snel op de markt te brengen. Overslaan van de tests zou in dat geval uiterst onverstandig zijn, maar het is mogelijk.

Verder ben ik van mening dat ze dit soort applicaties tot op de laatste puntjes moeten testen qua beveiliging. En dan nog, ook al denk je dat je app volledig veilig is, er is altijd iemand die het kan kraken.

Beter blijven banken gewoon banken.

ejay79 @Voyage • 22 maart 2012 07:57

Beter blijven banken gewoon banken.

Dus jij wil liever voor elke overboeking even langs je bank lopen? Of om je saldo op te vragen?

Wees blij dat er wel goede internet-/mobielbankieren apps/initiatieven van de banken afkomen. ING (en voorheen ook Postbank) zijn daarin idd minder succesvol.

kvdveer @Uniciteit • 21 maart 2012 14:44

Dat lijkt me niet. Dit is een van de eerste elementen die bij een black box test naar voren zou komen.

wica @Uniciteit • 21 maart 2012 15:34

Hoezo is mobiel bankieren anders dan bankieren via internet? Het gaat beide over internet. Dus de banken hebben al meer dan genoeg ervaring kunnen opbouwen omtrent het beveiligen van de data op onbetrouwbare netwerken.

Niets nieuws dus, dit is gewoon pruts werk, eigenlijk zou hun bank licentie ingetrokken moeten worden, aangezien dit het zoveelste is.

Uniciteit @wica • 21 maart 2012 16:57

Het gaat heel anders. Op een iPad kan je bijvoorbeeld véél gemakkelijker geld overmaken dan op de PC. Het werkt op mobiele apparaten dus anders. Daarnaast is het nog redelijk nieuw en moet er dus nog een hoop van worden geleerd.

wica @Uniciteit • 21 maart 2012 20:45

De onder liggende techniek is in Maart 1982 een standaart geworden. Hoezo nieuw?

Dat je op je iPad véél gemakkelijker geld kan over maken, ligt puur en alleen aan de user interface en de backend op de server. Daar tussen wordt tcp/ip gebruikt net als op je PC.

Uniciteit @wica • 21 maart 2012 22:49

Ik denk niet dat je het snapt. Het gaat niet om de onderliggende techniek, het gebruik van internet, maar hoe er toegang wordt verschaft. Ze hebben al jaren ervaring met internetbankieren via je internet browser op je PC, dat hebben ze nog niet met apps.

De beveiliging en controle zit helemaal anders in elkaar. Zo kan ik op de iPad bijvoorbeeld al 1000 euro overmaken naar iemand als ik één code/wachtwoord weet, maar op de computer heb je allerlei extra controle stappen om te controleren dat jij wel 'jij' bent.

HgnX 21 maart 2012 14:40

Ik snap niet dat de ING in andere kringen hard wordt uitgelachen. Ik vind het mooi pionierswerk om het bankieren zo dichtbij te brengen en zo te vergemakkelijken. Vind je het gek dat hier fouten inzitten aan het begin? Wat is er nu meteen perfect? Het feit dat er geen misbruik van gemaakt is en het lek nu is opgelost is geen reden om een ander hard uit te lachen. Het probleem is verholpen voordat het een probleem werd toch?

john milton @HgnX • 21 maart 2012 14:43

lachen doe ik zeker niet, maar ik schrik er toch wel een klein beetje van als gebruiker van die app... je verwacht niet zo'n fout......

Dr. Horrible @HgnX • 21 maart 2012 14:45

ING is niet de eerste geweest met een App. En wie zegt dat het geen probleem was?

SuBBaSS @HgnX • 21 maart 2012 14:54

Goh, kan me nog levendig vorig ING-topic herinneren met daarin de zielen die hand en tand de ING liepen verdedigen (geen gehannes met readers, blabla). Kom er maar weer in mensen en ga nu nog eens zeggen dat de ING er GEEN zootje van maakt!

Sorry hoor, maar met dit soort zaken dan maar niet experimenteren! Wat zal dit voor gevolgen hebben (gehad)? Volgens ING zal er waarschijnlijk wel weer niets gebeurd zijn verder.
Dat ze geen fraudegevallen geconstateerd hebben verbaast me dan ook helemaal niets; die worden natuurlijk aan de tientallen phisings-slachtoffers gehangen.
Bovendien: zal er ooit een bedrijf komen dat het WEL toe zou geven als blijkt dat door hun eigen gepruts gedupeerden zijn. Ik denk nee, beter krom lullen dan aansprakelijkheid nemen.

LopendeVogel @HgnX • 21 maart 2012 14:55

Hallloooooo het gaat niet om een nutteloze app als nu.nl.... er zijn mensen die geld op hun rekening hebben...
Zoiets als dit hoort grondig getest te worden voordat de eindgebruiker het kan gebruiken...

Ontken het nu niet... ing heeft zeer hard gefaald. een bank van vroeger en verleden. ipv nu en de toekomst

sumac @HgnX • 21 maart 2012 14:55

Het feit dat iemand van buiten dit probleem moest ontdekken is triest voor een bank die miljarden beheert.

Dingen @HgnX • 21 maart 2012 15:23

Vind je het gek dat hier fouten inzitten aan het begin?

Ja. Echt, heel echt raar.

Pixeltje

21 maart 2012 15:00

Tja, de hoeveelste fout is dit die ze maken met de app of de online banking omgeving?

Het wordt tijd dat de ING eens kritisch gaat en laat kijken naar hun beveiliging en de aansturing daarvan.

Dat is overigens niet bedoeld als loze rant, maar het is gewoon niet goed voor het imago van een bank als je bankingomgeving constant plat ligt, rare errors geeft en de app die je vrijgeeft niet eens controleert met wie er gecommuniceerd wordt. Als ING zijn klanten serieus neemt onderzoeken ze de zaak, maken ze de bevindingen (voor zover kan) openbaar en laten ze zien wat ze eraan gedaan hebben.

Op dit item kan niet meer gereageerd worden.

Mobielbankieren-app ING controleerde ssl-certificaat bank niet - update

Lees meer

Reacties (112)

Sorteer op:

Weergave: