SNS

"Mobielbankieren-apps lekken persoonlijke informatie"

  • 14 januari 2014
  • 7 Reacties
  • 2281 Keer bekeken

http://blog.ioactive.com/2014/01/personal-banking-apps-leak-info-through.html

Volgens dit artikel zijn er een boel manieren waarop de door hun geteste mobielbankieren-apps (van buitenlandse banken, niet nader gespecificeerd) persoonlijke informatie kunnen lekken.
Op Twitter vroeg ik @SNSbank of "onze" app ook doorgelicht was op deze risico's. Als antwoord kreeg ik dat SSL-certificaten wel degelijk gecontroleerd worden, maar er zijn nog veel meer pijnpunten die genoemd worden, zoals het lekken van gebruikersnaam en wachtwoord via de logs. Kan iemand hier daar meer duidelijkheid over verschaffen?

7 reacties

http://blog.ioactive.com/2014/01/personal-banking-apps-leak-info-through.html

Volgens dit artikel zijn er een boel manieren waarop de door hun geteste mobielbankieren-apps (van buitenlandse banken, niet nader gespecificeerd) persoonlijke informatie kunnen lekken.
Op Twitter vroeg ik @SNSbank of "onze" app ook doorgelicht was op deze risico's. Als antwoord kreeg ik dat SSL-certificaten wel degelijk gecontroleerd worden, maar er zijn nog veel meer pijnpunten die genoemd worden, zoals het lekken van gebruikersnaam en wachtwoord via de logs. Kan iemand hier daar meer duidelijkheid over verschaffen?

Beveiliging is en blijft een groot probleem. Ik denk niet dat de SNS (ITers) er veel over kwijt willen. 
Wat mijn ervaring is de afgelopen jaren:
  • er zijn altijd (weer nieuwe) mogelijkheden
  • beveiligers/bouwers lopen altijd achter de feiten aan
  • Gebruikers zijn onwetend (gehouden)
  • zoveel te ouder de apparatuur/programma, zoveel te meer risico, zoveel te minder updates
De "eenvoud" van een app doet denken aan "eenvoud" van kraken. Maar of dat klopt? Ik denk dat het probleem groter wordt naarmate de app uitgebreider wordt (meer mogelijkheden heeft/krijgt).
PC´s hebben het "nadeel" dat ze een "heel" verleden van verdere uitbouw met zich meeslepen (moet compatible zijn met...). Je zou verwachten dat nieuwe besturingssystemen "veiliger" zijn (men kon ja echt blanko (nou ja bijna) opnieuw beginnen).
Groet,
Ben 🆒
PS Het "testen" is natuurlijk weer een heel ander verhaal.
Reputatie 2
Badge +1
Moderne mobiele apparaten hebben alles aan boord om zaken goed en vooral veilig te maken. Niet alleen wat betreft de hardware, maar ook wat betreft het OS. Het is aan de app bouwers om met deze middelen een goede en veilige applicatie te bouwen. Bijvoorbeeld: AES-128 cryptografie is vandaag de dag niet te kraken, maar als de software gebruik maakt van een slechte (lees: voorspelbare) RNG (Random Number Generator), dan kan de gebruikte cryptografische sleutel alsnog vrij eenvoudig geraden worden door een kwaadwillende, en is de beveiliging doorbroken.

In het artikel wordt aangegeven dat 40% van de apps niet controleert op het servercertificaat. Dan kun je bijvoorbeeld d.m.v. DNS spoofing heel simpel een MitM aanval uitvoeren waarbij je de informatie onderschept en naar eigen inzicht aanpast. Wij worden als klanten vandaag de dag gewezen op het bekende hangslotje in de browser en de groene kleur van de adresbalk. Waarom zijn er dan nog steeds banken die in hun eigen app het servercertificaat niet controleren?!

Zoals Ben aangeeft kun je achteraf natuurlijk testen. Sterker nog: je kunt een professioneel bedrijf in de arm nemen om een penetratietest te laten uitvoeren zoals de persoon in het artikel heeft gedaan. Dit is zeker aan te bevelen als je het ontwikkelen van de app hebt uitbesteed aan een externe partij. Je neemt dan een andere onafhankelijke externe partij om het eindresultaat te testen op veiligheid. Net als dat je het eindresultaat test op functionaliteit.

Groeten,
Stefan
Ha whizzkids 🆒,

Wij checken inderdaad netjes op het SSL-certificaat zoals op Twitter aangegeven.

Gezien de veiligheid adviseert onze ontwikkelaar om geen details te geven over wat we exact wel en niet doen.
Ik heb daarop dit topic met hem gedeeld en gevraagd of we misschien toch iets meer kunnen delen, gezien jullie betrokkenheid.

Onze ontwikkelaar geeft aan dat we ons bewust zijn van risico’s verbonden aan mobiel bankieren. En dat we daarop passende maatregelen treffen. De ontwikkeling van risico’s en maatregelen houden we nauwgezet in de gaten. Waaronder in het artikel genoemde issues. Daarnaast toetsen we regelmatig de kwaliteit van onze (beveiligings)maatregelen. En laten we gespecialiseerde onafhankelijke partijen onze apps toetsen.
Reputatie 2
Badge +1
Ha whizzkids 🆒,

Wij checken inderdaad netjes op het SSL-certificaat zoals op Twitter aangegeven.

Gezien de veiligheid adviseert onze ontwikkelaar om geen details te geven over wat we exact wel en niet doen.
Ik heb daarop dit topic met hem gedeeld en gevraagd of we misschien toch iets meer kunnen delen, gezien jullie betrokkenheid.

Onze ontwikkelaar geeft aan dat we ons bewust zijn van risico’s verbonden aan mobiel bankieren. En dat we daarop passende maatregelen treffen. De ontwikkeling van risico’s en maatregelen houden we nauwgezet in de gaten. Waaronder in het artikel genoemde issues. Daarnaast toetsen we regelmatig de kwaliteit van onze (beveiligings)maatregelen. En laten we gespecialiseerde onafhankelijke partijen onze apps toetsen.


Ik had niet anders verwacht natuurlijk!
🆒
Ha whizzkids 🆒,

Wij checken inderdaad netjes op het SSL-certificaat zoals op Twitter aangegeven.

Gezien de veiligheid adviseert onze ontwikkelaar om geen details te geven over wat we exact wel en niet doen.
Ik heb daarop dit topic met hem gedeeld en gevraagd of we misschien toch iets meer kunnen delen, gezien jullie betrokkenheid.

Onze ontwikkelaar geeft aan dat we ons bewust zijn van risico’s verbonden aan mobiel bankieren. En dat we daarop passende maatregelen treffen. De ontwikkeling van risico’s en maatregelen houden we nauwgezet in de gaten. Waaronder in het artikel genoemde issues. Daarnaast toetsen we regelmatig de kwaliteit van onze (beveiligings)maatregelen. En laten we gespecialiseerde onafhankelijke partijen onze apps toetsen.

Sorry,
Klinkt toch een beetje als; ga maar slapen wij waken wel! 
Ik begrijp de redenering, aber; de "misbruikers" zijn ons stappen vooruit. Dus de meeste info over dit item is voor die personen bekende materie. Het zou beter zijn niet te doen of alles inderdaad wel goed komt, maar inzicht te geven (zonder belangrijke details natuurlijk) in wat men zoal doet. Ook "wie en hoe" dan controleert zou best gedeeld kunnen worden.
Misschien moet ik daarnaast ook maar even wijzen op de stappen die ITers hebben genomen om ons om de tuin te leiden en ons verkoopbare info te ontfutselen (de beruchte cookies).
Daarnaast; hoe betrouwbaar zijn "de banken".
Is dit een beetje de "slager die z´n eigen vlees keurt"?
PPfff ik bedoel maar......
Bovendien is het ook belangrijk de klanten het gevoel te geven dat het erg belangrijk is dat ook zij zich hier mee bezig houden en niet alleen de bank ITers.
Groet,
Ben 🆒
PS Dit is echte vooruitgang , klik hier!
Hoi Ben,

Bedankt voor het delen van je mening. Aan de reactie van mijn collega Lindsay kan ik echter niets toevoegen. Een prettig weekend alvast 🙂.
Hoi Ben,

Bedankt voor het delen van je mening. Aan de reactie van mijn collega Lindsay kan ik echter niets toevoegen. Een prettig weekend alvast 🙂.

Dat begrijp ik. Toch dank voor je reactie en wensen.
`t is een beleidskwestie en daar zijn anderen binnen de SNS gevraagd.
Ook een goed weekend!
Groet,
Ben 🆒

Reageer