Nieuws
image

"Mobiel internetbankieren is mijnenveld"

vrijdag 29 juli 2011, 09:51 door Redactie, 8 reacties

De mobiele telefoon is nog niet geschikt om mee te internetbankieren, ook al bieden banken dit wel aan. "Het bewijs is onweerlegbaar. Je bent met moderne smartphones niet verzekerd van bescherming. Zodra de handset gecompromitteerd is, liggen alle gegevens voor het grijpen", zegt Alex Fidgen van MWR InfoSecurity. "De mobiele telefoonindustrie is er niet klaar voor, zeker als het om financiële transacties gaat."

Volgens Fidgen ligt de fout bij de fabrikanten, die in een race om nieuwe telefoons en features uit te brengen, veiligheid laag op de agenda hebben gezet. Hij krijgt bijval van Mickey Boodaei van beveiligingsbedrijf Trusteer. Hij noemt Google Android zelfs "een hemel voor fraudeurs". De mobiele telefoons zouden op allerlei manieren zijn te infecteren, en dan met name Google's mobiele besturingssysteem. "Vergeleken met Apple's App Store, is de Android Marktplaats het Wilde Westen. Je kunt niet altijd de applicaties vertrouwen die je ervan downloadt."

Mijnenveld
Het aantal aanvallen op mobiele apparaten valt nog mee, maar dat komt omdat smartphones nog vrij nieuw zijn. "We wandelen een mijnenveld binnen", aldus Fidgen, die al een aantal maanden voor de risico's van mobiel internetbankieren waarschuwt. "Maar niemand luistert er."

Volgens Boodaei kan binnen een tot twee jaar meer dan vijf procent van alle Android smartphones en iPads/iPhones met mobiele malware geïnfecteerd zijn. Het gaat dan vooral om aanvallen via zero-day exploits, waar ook niet gejailbreakte toestellen kwetsbaar voor zijn. Toch stellen beide experts dat het jailbreaken van de smartphone de gebruiker aan meer risico's blootstelt.

Reacties (8)
29-07-2011, 10:40 door RichieB
Als je het plaatje (MitMo attack cycle) bekijkt staat er "transaction approved using stolen SMS". Dit is dus prima tegen te gaan door geen software op je Android telefoon te installeren die bij je SMSjes kan. Op de iPhone kan dit al helemaal niet. Mbt de mobilele bank applicaties (Rabo, ABN, etc) zal een malware schrijver toch echt eerst je mobiele OS flink tot root niveau moeten hacken voordat daar misbruik van gemaakt kan worden. Voorlopig is het veel makkelijker om dat via een Windows PC te doen, dus het zal zo'n vaart nog niet lopen met het misbruiken van mobiel internetbankieren (in Nederland). Wet van de minste weerstand.
29-07-2011, 11:20 door Anoniem
Door RichieB: Als je het plaatje (MitMo attack cycle) bekijkt staat er "transaction approved using stolen SMS". Dit is dus prima tegen te gaan door geen software op je Android telefoon te installeren die bij je SMSjes kan. Op de iPhone kan dit al helemaal niet. Mbt de mobilele bank applicaties (Rabo, ABN, etc) zal een malware schrijver toch echt eerst je mobiele OS flink tot root niveau moeten hacken voordat daar misbruik van gemaakt kan worden. Voorlopig is het veel makkelijker om dat via een Windows PC te doen, dus het zal zo'n vaart nog niet lopen met het misbruiken van mobiel internetbankieren (in Nederland). Wet van de minste weerstand.
gebeurt regelmatig dat er exploits zijn die zo door die 'beveiliging' heenbeuken, plus dat de meeste mensen die melding niet eens doorlezen en alles zomaar overal access toe geven.
29-07-2011, 11:28 door Anoniem
En om welke reden precies is het als lopen door een mijnenveld, wanneer je met een nokia smartphone de mobiele site van de Rabobank, via een https-verbinding uiteraard, gebruikt om bankzaken te doen? Credentials niet opslaan en het lijkt me even veilig, zo niet veiliger, dan vanaf je mogelijk gecompromitteerde desktop dan wel laptop.
29-07-2011, 11:57 door Anoniem
Door RichieB: Als je het plaatje (MitMo attack cycle) bekijkt staat er "transaction approved using stolen SMS". Dit is dus prima tegen te gaan door geen software op je Android telefoon te installeren die bij je SMSjes kan. Op de iPhone kan dit al helemaal niet. .
Tja, dan kun je beter helemaal geen software installeren want er zijn best veel applicaties die om de één of andere reden toegang tot contacten, sms verkeer of belgedrag willen. Van sommigen is de toegang te verklaren maar van velen niet. En daar zitten ook 'betrouwbare' software pakketjes tussen.
Installeer voor de grap een LBE Privacy Guard en untrust alle trusted applicaties. Kijk na een reboot van je telefoon eens hoeveel software toegang wil hebben tot sms en andere data. Je zou er haast paranoïde van worden.
29-07-2011, 12:36 door Anoniem
GSM verkeer is sowieso niet veilig. De sessie key is in minder dan 1,5 sec te kraken en MitM aanvallen zijn met apparatuur van enkele tientjes al mogelijk. Dus een SmartPhone/table gebruiken voor zowel ontvangen als verzenden van gevoelige dat is geen goed idee. Het ontvangen van een OTP/TAN code kan nog wel, vermits het retouneren niet via GSM gaat.
29-07-2011, 12:59 door Anoniem
Door Anoniem: GSM verkeer is sowieso niet veilig. De sessie key is in minder dan 1,5 sec te kraken en MitM aanvallen zijn met apparatuur van enkele tientjes al mogelijk. Dus een SmartPhone/table gebruiken voor zowel ontvangen als verzenden van gevoelige dat is geen goed idee. Het ontvangen van een OTP/TAN code kan nog wel, vermits het retouneren niet via GSM gaat.
Het meeste dataverkeer gaat over UMTS/HSDPA afaik, waarvan de beveiliging beter is dan die van GSM/GPRS. Voor de meeste mensen zal dit slechts incidenteel een probleem zijn, wanneer er onvoldoende 3/3.5G bereik is.
29-07-2011, 17:03 door Anoniem
"We wandelen een mijnenveld binnen", aldus Fidgen, die al een aantal maanden voor de risico's van mobiel internetbankieren waarschuwt. "Maar niemand luistert er."
Er zijn zat mensen die luisteren maar die zorgen meestal wel goed voor zichzelf. De goe gemeente is niet geïnteresseerd, wil het niet horen en vinden het allemaal maar paranoïde gezeik. Ik ga de discussie al niet meer aan, laten ze maar lekker op hun bek gaan. Ze zijn/waren gewaarschuwd. Soms is ondervinding de beste leermeester.
23-08-2011, 09:48 door Anoniem
Het is vooral belangrijk dat je als je bijvoorbeeld een iPhone hebt en je internetbankiert bij ING / http://www.ing.nl/particulier/internetbankieren/internetbankieren/mijn-ing/ je je gebruikersnaam niet bewaard (vinkje). Wanneer iemand dan je telefoon steelt is het namelijk met behulp van je gebruikersnaam en telefoon mogelijk om een nieuw wachtwoord op te vragen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure