De Mobiel Bankieren app van de ING bank is maandenlang kwetsbaar geweest voor misbruik. Dat heeft Floor Terra, een hacker en beveiligingsexpert, ontdekt. De communicatie tussen de telefoon en de bank was door een fout in de app slecht beveiligd. ING heeft het lek inmiddels gedicht en verplicht gebruikers van de ING-app een nieuwe versie te installeren.
Bart Jacobs, hoogleraar Computerbeveiliging aan de Radboud Universiteit, is verbaasd. 'Het is een blamage dat deze fout gemaakt is. Dit is een hele elementaire beveiliging waar niet aan gedacht is. Hierom wordt de ING in security-kringen hard uitgelachen.'
Door een fout in de app bleek deze het SSL-certificaat van de Bank niet te controleren. Daardoor doet de app niet alleen zaken met de ING, maar mogelijk ook met criminelen. Een internetbrowser toont precies zo'n controle via een groen gesloten slotje in de adresbalk. In hun "drie keer kloppen" campagne vragen de banken hun klanten dat altijd te controleren. De Mobiel Bankieren app van de ING
deed dat zelf echter niet.
Floor Terra, de ontdekker van het lek verwachte eerst niet dat de ING deze basisbeveiliging vergeten zou zijn, maar niets bleek minder waar. 'Ik schrok, de app van ING controleerde niet of deze nu wel of niet met de bank communiceerde. Een aanvaller kan zich daardoor tussen die communicatie nestelen en bedrag of rekeningnummer veranderen. Ik heb toen onmiddellijk contact opgenomen met de ING'.
Hoogleraar Jacobs: 'Dit hadden ze zelf moeten ontdekken. ING heeft haar kwaliteitscontrole niet op orde. Daar zou ik me zorgen over maken als ik in de directie van ING zou zitten. Bij dit soort apps hebben banken concessies gedaan ten gunste van gebruiksgemak. Het zou beter zijn als banken daar transparanter over zouden zijn.'
ING heeft na een gesprek met Terra onmiddellijk maatregelen genomen en een verplicht gebruikers van een Android telefoon een update uit te voeren. Sinds 20 maart is er ook een update voor iPhone gebruikers beschikbaar. ING laat weten dat het gebruik van de Mobiel Bankieren app veilig is en dat er via het lek geen fraude is gepleegd.
Reactie ING:
Onze klanten kunnen veilig gebruik maken van de Mobiel Bankieren App.
Honderdduizenden klanten maken dagelijks gebruik van de app. Zowel op veiligheid als op gebruiksgemak doen wij daarom absoluut geen concessies. De veiligheid staat op een zeer hoog niveau. De app is op vele manieren getest en beveiligd, niet altijd volledig zichtbaar voor experts van buiten. Sinds de lancering in november 2011 zijn er geen fraudegevallen geconstateerd. Natuurlijk willen we dat dit zo blijft. Een team van specialisten werkt iedere dag aan de verdere ontwikkeling van onze dienstverlening via de Mobiel Bankieren App om de veiligheid en het gebruiksgemak te kunnen blijven garanderen.
In de ontwikkeling van de app luisteren wij goed naar de gebruikers. Wij hebben van klanten tips gekregen om de app te verbeteren. Zo hebben wij naar aanleiding van deze tips onlangs nog het adresboek toegevoegd. Ook op het gebied van veiligheid krijgen wij aanbevelingen die wij onderzoeken en waar relevant overnemen. Wij zijn onze klanten zeer dankbaar voor alle waardevolle feedback en nemen deze zeer serieus.
Op de bewering dat een aanvaller zich in het betalingsverkeer zou kunnen mengen laat ING weten: 'Dit absoluut niet aan de orde. Klanten konden en kunnen op ieder moment veilig gebruik maken van de app'.
Vragen? Stel ze!
Heb je nog vragen of wil je reageren? Stuur ons dan hier een berichtje in onze chat. Elke donderdag vertellen we in de Doe mee-nieuwsbrief wat we met alle reacties doen. Wil je die in je mail? Meld je dan hier aan.