image

ING mobiel bankieren app 200.000 keer gedownload

vrijdag 11 november 2011, 13:20 door Redactie, 7 reacties

De mobiel bankieren app die ING dinsdag lanceerde is inmiddels 200.000 keer gedownload, zo laat de bank weten. Met name de gebruiksvriendelijkheid zouden gebruikers waarderen. Uit een eerste analyse van de app bleek dat de authenticatie aardig goed in elkaar zit.

Op de Android Marktplaats hebben 621 mensen een beoordeling gegeven, en scoort de app gemiddeld een 4,3. Het aantal downloads op het Android-platform zit tussen de 50.000 en 100.000. Voor de iPhone en iPad zijn er 936 beoordelingen gegeven, met een 4+ als gemiddelde. Binnenkort verschijnt er een versie voor de BlackBerry.

Reacties (7)
11-11-2011, 14:07 door Anoniem
Jammer dat hij zo onveilig als de pest is..

Misschien juist mooi..
11-11-2011, 15:29 door JorgD
Door Anoniem: Jammer dat hij zo onveilig als de pest is..

Misschien juist mooi..
Zegt het begrip "argumentatie" je wat?
11-11-2011, 15:45 door Anoniem
"Jammer dat hij zo onveilig als de pest is.. "

Waarop baseer je die stelling.... ?
11-11-2011, 22:43 door Anoniem
Met een enkele 5-cijferige pincode op het apparaat kan je alle acties uitvoeren. Deze is te achterhalen met screenshots of keylogging. Weliswaar is het daarmee niet zomaar op een ander apparaat te gebruiken, maar 'onder water' zou de app gemanipuleerd kunnen worden.
Maar skimmers moeten zich toch laten omscholen nu de magneetstrip eruit gaat...
11-11-2011, 22:52 door Bitwiper
Door Anoniem: Jammer dat hij zo onveilig als de pest is..
In elk geval onveiliger dan internetbankieren op je PC, want dan is er sprake van 2FA (two-factor-authentication) doordat er met een SMSje een TAN code naar je mobiel wordt gestuurd die je in moet tikken op de https://mijn.ing.nl/ website na daarop te zijn ingelogd.

In het geval van de app worden alle gegevens via de smartphone uitgewisseld. Één trojan op de smartphone volstaat om je overboeking ergens anders heen te sturen dan jij denkt. Single-factor dus.

Nu zou je kunnen argumenteren dat die app lastig te doorgronden is (iets dat de trojan makers zullen moeten doen) maar in de https://mijn.ing.nl/ web app zitten tegenwoordig ook heus wel mechanismen om "man-in-the-browser" attacks te helpen detecteren.

Daarnaast, in http://www.mountknowledge.nl/2011/11/09/ing-mobiel-bankieren-authenticatie/ (bron: http://www.security.nl/artikel/39139/1/%22Beveiliging_ING_mobiel_bankieren_best_goed%22.html) lees ik:
...
Tijdens dit proces wordt een 5-cijferige pin code gekozen die daarna (samen met het device) genoeg is om de rekeningen in te zien, en geld over te maken.
...
Nu de registratie is geslaagd, wordt bij elk volgend gebruik van de app alleen de PIN code gevraagd.
Als een aanvaller die 5-cijferige pin-code kan afkijken en vervolgens je telefoon steelt kan zij/hij meteen 1000 Euro naar een rekening naar keuze overmaken. En da's meer dan de meeste telefoons op straat zullen opbrengen vermoed ik. Dit verhoogt ook de kans op beroving als de aanvaller jou heeft zien internetbankieren en jouw pincode heeft gezien.

http://www.theregister.co.uk/2011/11/07/distance_reading/ van afgelopen maandag meldt dat wetenschappers hebben aangetoond dat ze op een afstand van 60 meter achter je, of voor je als je een (zonne-) bril draagt, danwel gebruik makend van reflecties in bijv. beeldschermen en ruiten, kunnen meelezen wat je invoert op een iPhone. Daarbij wordt gebruik gemaakt van een standaard video camera. Het is zelfs mogelijk een iPhone camera hiervoor te gebruiken, maar dan moet de aanvaller met een kleinere afstand genoegen nemen. Zie ook http://cs.unc.edu/~rraguram/ispy/main.html (check de bovenste video!).

KIJK DUS UIT **WAAR** JE JE PIN CODES INTOETST!
PS ben ik de enige die, als ik in de trein een mooie vrouw zie (ik sluit daarbij nog steeds niet uit dat ik zelf een vrouw kan zijn ;) en het buiten donker is, ik net even langer via een ruit durf te kijken dan direct? Wat ik bedoel te zeggen is: die ruiten spiegelen als een gek!
12-11-2011, 03:28 door Anoniem
@Bitwipper

Leuk, maar je kan alleen naar rekeningnummers overmaken die 'bekend' zijn, bij ABN zijn dat rekeningnummers waar je de afgelopen 3 maanden geld naar over hebt gemaakt, welke tijdspan/meetmethode de ING heeft weet ik niet.
Dit maakt het dus een stuk veilig (ik zeg niet 100%) veilig, maar trojans e.d. hebben dus een stuk minder zin op deze manier.
13-11-2011, 09:29 door peanuty
Mocht ie goed en veilig zijn dan zal ik hem waarschijnlijk nog gebruiken ook.

Maar het zal een kwestie van tijd zijn totdat er een paar look a like's of fake apps verschijnen. (denk ik)
Daarom wacht ik nog maar even en volg ik het nieuws daarover. ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.