ING vergat basisbeveiling in iPhone en iPad app

De Mobiel Bankieren app van de ING bank voor de iPhone en Android is maandenlang kwetsbaar geweest voor misbruik. Dit blijkt uit een bericht op de 1vandaag website.

Floor Terra, hacker en beveiligingsexpert ontdekte dat de app het SSL-certificaat van de Bank niet controleerde. Op die manier konden criminelen ook toegang krijgen tot de bankrekening van de gebruiker van de iPhone of iPad applicatie. Floor Terra:

‘Ik schrok, de app van ING controleerde niet of deze nu wel of niet met de bank communiceerde. Een aanvaller kan zich daardoor tussen die communicatie nestelen en bedrag of rekeningnummer veranderen. Ik heb toen onmiddellijk contact opgenomen met de ING’.

Bart Jacobs, hoogleraar Computerbeveiliging aan de Radboud Universiteit, is verbaasd:
‘Het is een blamage dat deze fout gemaakt is. Dit is een hele elementaire beveiliging waar niet aan gedacht is. Hierom wordt de ING in security-kringen hard uitgelachen. Dit hadden ze zelf moeten ontdekken. ING heeft haar kwaliteitscontrole niet op orde. Daar zou ik me zorgen over maken als ik in de directie van ING zou zitten. Bij dit soort apps hebben banken concessies gedaan ten gunste van gebruiksgemak. Het zou beter zijn als banken daar transparanter over zouden zijn.’

ING heeft inmiddels maatregelen genomen en sinds gisteren is er een update van de ING app beschikbaar via de App Store. ING laat verder weten dat het gebruik van de Mobiel Bankieren app veilig is en dat er via het lek geen fraude is gepleegd.