Waarom mobiel bankieren dus toch geen goed idee is
De schijnwerper is deze keer weer eens gericht op Android. Beveiligingsspecialist Sam Browne liet studenten van zijn cursus ethisch hacken aan het City College in San Francisco onderzoek doen naar de reactie van app-bouwers op een lek dat 7 maanden terug bekend werd. En de resultaten waren ontluisterend.
Shutterstock
Shutterstock
Browne en zijn studenten onderzochten 15 apps die in september 2014 bij gebruik van een beveiligde https-verbinding kwetsbaar bleken voor een man-in-the-middle-aanval, doordat ze vervalste TLS-certificaten accepteerden. Dat maakte het relatief eenvoudig om gebruikersnamen, wachtwoorden en andere gevoelige gegevens af te luisteren.
Dat is nu dus nog zo, constateerde Browne, zelfs als er in de tussentijd van die apps een update was gepubliceerd. Eén van die apps was nota bene een mobielbankieren-app van de State Bank of India.
Honderden miljoenen kwetsbare smartphones
Bij elkaar gaat het zeker om 350 miljoen Android-mobieltjes waarop de kwetsbare software nog steeds aanwezig is. En dan hebben we het alleen over de 15 apps die Browne onderzocht. Bij de ontdekking van het lek constateerde de CERT Divison van het Software Engineering Institute dat 23.668 apps deze kwetsbaarheid bevatten. Ook al zal Browne geen aselecte steekproef hebben getrokken, dan nog is er weinig reden om aan te nemen dat niet veel meer van de destijds kwetsbare apps nog niet afdoende is gerepareerd. Opmerkelijk is ook dat Google kennelijk geen effectieve controle en druk uitoefent op de apps die via zijn Google Play zijn gedistribueerd om bekende lekken afdoende te repareren. Dat gaat het wel doen, zegt het in een reactie op de publiciteit die Browne uitlokte. Maar dat gebeurt dus niet uit eigener beweging.
Apple lijdt aan hetzelfde probleem
Uitwijken naar de iPhone is geen alternatief. Apple heeft wel de naam weten op te bouwen dat zijn apps stringent gecontroleerd worden, maar ook in Apples App Store werden onlangs nog 1500 apps ontdekt die 3 weken na het bekend worden van een lek nog geen maatregelen hadden genomen om hun gebruikers te beschermen. SourceDNA, dat daarover de kat de bel aan bond, claimt dat er al met al meer dan 25.000 apps voor iOS met lekken in omloop zijn. Vorige week bleek ook dat iOS niet brandschoon is bij de verwerking van SSL-certificaten. Hackers blijken vastlopers uit te kunnen lokken.
SSL/TLS geeft op smartphone geen garanties
Kortom: een beveiligde verbinding op je smartphone is niet wat het lijkt. Totdat Google en Apple afdoende maatregelen hebben genomen om de veiligheid van hun platformen op niveau te brengen, kun je maar beter niet mobiel bankieren als je je smartphone ook wel eens gebruikt op plekken waarvan je niet weet of er iemand kan meeluisteren. Of je moet helemaal geen andere apps downloaden en gebruiken, natuurlijk, en hopen dat de ontwikkelaars van jouw mobielbankieren-app hun zaakjes beter voor elkaar hebben dan de ontwikkelaars die de State Bank of India inhuurde.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee