bankieren

ING vergat basisbeveiling in iPhone en iPad app

De Mobiel Bankieren app van de ING bank voor de iPhone en Android is maandenlang kwetsbaar geweest voor misbruik. Dit blijkt uit een bericht op de 1vandaag website.

Floor Terra, hacker en beveiligingsexpert ontdekte dat de app het SSL-certificaat van de Bank niet controleerde. Op die manier konden criminelen ook toegang krijgen tot de bankrekening van de gebruiker van de iPhone of iPad applicatie. Floor Terra:

‘Ik schrok, de app van ING controleerde niet of deze nu wel of niet met de bank communiceerde. Een aanvaller kan zich daardoor tussen die communicatie nestelen en bedrag of rekeningnummer veranderen. Ik heb toen onmiddellijk contact opgenomen met de ING’.

Bart Jacobs, hoogleraar Computerbeveiliging aan de Radboud Universiteit, is verbaasd:
‘Het is een blamage dat deze fout gemaakt is. Dit is een hele elementaire beveiliging waar niet aan gedacht is. Hierom wordt de ING in security-kringen hard uitgelachen. Dit hadden ze zelf moeten ontdekken. ING heeft haar kwaliteitscontrole niet op orde. Daar zou ik me zorgen over maken als ik in de directie van ING zou zitten. Bij dit soort apps hebben banken concessies gedaan ten gunste van gebruiksgemak. Het zou beter zijn als banken daar transparanter over zouden zijn.’

ING heeft inmiddels maatregelen genomen en sinds gisteren is er een update van de ING app beschikbaar via de App Store. ING laat verder weten dat het gebruik van de Mobiel Bankieren app veilig is en dat er via het lek geen fraude is gepleegd.

Officiële ING iPhone App nog onveiliger dan de niet officiële “phishing” app

Eerder deze week schreven we over de niet officiële applicatie waarmee je het saldo van je ING rekening kan opvragen. ING liet de “phishing” app uit de App Store verwijderen maar dat kan ING beter zelf ook doen want de officiële ING app maakt gebruik van MSN en Windows Live ID waardoor de ING applicatie veel gevoeliger is voor misbruik. ING besteedt de inlog in de officiële iPhone app uit aan MSN en Windows Live ID. De ING bank is hierdoor onveilig en onverantwoord bezig door de  app te koppelen aan een Windows Live ID.

Uit de commentaren die bij de officiële ING applicatie in de App Store staan blijkt ook dat klanten deze manier van inloggen niet vertrouwen. Veel gebruikers maken liever niet gedwongen gebruik van een Windows dienst die bekend staat als zeer onveilig. Beveiligingsexperts vinden de keus voor Windows Live ID opmerkelijk, en trekken de veiligheid daarvan sterk in twijfel omdat Windows Live een bron is van phishing en tot hijacking exploits.

ING heeft gekozen voor het inloggen via Windows Live ID omdat de iPhone app op die manier sneller kon worden geintroduceerd in de App Store:

“Wij wilden op dat moment snel een app lanceren. uit eigen onderzoek bleek dat klanten het meest behoefte hadden aan saldo-informatie. Omdat snel te kunnen lanceren hebben we gebruik gemaakt van een bestaand systeem. Het is verder gewoon een prima systeem dat goed werkt.

De ING app wordt zo’n 10.000 tot 15.000 keer per dag gebruikt en de bank hoort ook “veel positieve feedback”. De ING iPhone App is gratis verkrijgbaar in de App Store.

Bron: Webwereld

Rabobank Mobiel bankieren met de iPhone en iPod touch

Eind jauari is er via de App Store een applicatie beschikbaar waarmee je als klant van de Rabobank Mobiel kan bankieren via een iPhone of iPod touch. Met de applicatie ‘Bankieren’ kan je direct het actuele saldo van je Rabo rekening opvragen, heb je inzicht in de bij- en afschrijvingen en kan je geld overmaken.  

Om te laten zien hoe je kan betalen via de iPhone of iPod touch komt er nog deze maand een demonstratieversie beschikbaar via de App Store waarmee je, je kan aanmelden als tester. De eerste vijftig inzenders doen automatisch mee. Zij ontvangen een e-mail met verdere informatie. Op de Rabobank website komt een aankondiging als de test applicatie beschikbaar is.

De definitieve versie is eind januari gratis te downloaden. Als je, je via de demo hebt aangemeld, dan ontvangt je (als tester en niet-tester) eind januari een mail zodra de Bankieren App in de App Store beschikbaar is.

Om de Bankieren App te kunnen gebruiken, moet je beschikken over Rabo Mobielbankieren en een TIN-code. Je kan Rabo Mobielbankieren nu al online activeren. Zo kan je direct aan de slag met mobielbankieren op je iPhone of iPod touch als de applicatie beschikbaar is.  Het is straks ook mogelijk Rabo Mobielbankieren aan te vragen via de Bankieren App of de demo.

rabo

Tip via de Rabobank

Bankieren via iPhone veiliger dan met PC

De politie in Australië heeft een advies gegeven waarin staat dat elektronisch bankieren via Linux of een iPhone veiliger is dan via een PC. De cybercrime expert zegt dat hij nooit gaat telebankieren via windows. Je weet namelijk nooit of je al geinfecteerd bent met een keylogger of phishing software. Als je toch wil internet bankieren via een pc maak dan een Linux bootdisk en bankier via Ubuntu.

Volgens de cybercrime expert is de iPhone “quite safe” om te gebruiken voor internet bankieren. De iPhone kan maar een proces tegelijkertijd draaien en is daardoor minder snel te infecteren.

Bron: itnews en dank aan Ferdi voor de tip!

bank