Forum Weblog Zoek Actieve Items Nieuws Columns Reviews Previews Specials Archief

Hacker ontdekt fout in ING-app

Redactie

In de applicatie voor mobiel bankieren van ING heeft maandenlang een beveiligingsfout gezeten. Dat heeft hacker en beveiligingsexpert Floor Terra ontdekt, vertelt hij woensdagavond in het televisieprogramma EenVandaag.

ING heeft het lek inmiddels gedicht. Een zegsman benadrukt dat klanten 'geen enkel gevaar hebben gelopen'.

De fout had te maken met de communicatie tussen de app en de server van ING. De app bleek niet te controleren of de server daadwerkelijk van ING was. Gebruikers van mobiel bankieren via de website moeten hetzelfde doen door te kijken of er slotje in de adresbalk van de webbrowser staat.

Door de fout had de app in theorie vertrouwelijke gegevens kunnen verzenden naar een andere server, bijvoorbeeld van criminelen. Doordat er meerdere beveiligingslagen zijn, was hier in de praktijk geen sprake, verzekert ING. "Er is via het lek geen fraude gepleegd", aldus de zegsman.

ING introduceerde het programma voor mobiele telefoons vorig jaar. Ruim achthonderdduizend klanten hebben de app inmiddels gedownload. De fout zag volgens de bank alleen in de app voor Android-gebruikers. Die is nu aangepast.

Hacker ontdekt fout in ING-app (Foto: Novum)

Help ons; deel dit item als je het leuk vond

Heb je een leuk of interessant bericht gevonden dat je graag op FOK! terug ziet? Tip ons dan via de submit!

Zoek jij altijd de leukste nieuwtjes en kun je daar leuk over schrijven? Meld je aan als nieuwsposter!

32 reacties

woensdag 21 maart 2012, 15:21 uur #2

afstandbediening

'vrot'

Ben blij dat ik bij een andere bank zit. ING blijft maar falen.

'krak'

Redactie Frontpage

woensdag 21 maart 2012, 15:21 uur #3

Innisdemon

De nadruk op meerdere beveilingsslagen lijkt me een hele duidelijke, en vooral erg belangrijk. Goed dat het lek gevonden is.

'Me' is géén bezittelijk voornaamwoord

woensdag 21 maart 2012, 15:21 uur #4

TheoddDutchGuy

angry bear

quote:
Op woensdag 21 maart 2012 @ 15:20 schreef Faazz het volgende:
Opsluiten die gek!

welke gek en want?

woensdag 21 maart 2012, 15:22 uur #5

aspi

Maakt toch niet zoveel uit, als ze zelf een fout maken en geld verliezen krijg ik alles terug.

Oh en de laatste zin klopt niet, moet zat zijn ipv zag.

woensdag 21 maart 2012, 15:23 uur #6

Daggerspine

quote:
. De fout zag volgens de bank alleen in de app voor Android-gebruikers. Die is nu aangepast.

Waarom heeft de iOS versie dan ook dezelfde update gehad?

woensdag 21 maart 2012, 15:23 uur #7

Vieze_Freddy

ok vieze freddy is aandeburt

Hoe weten ze nou of er wel of geen mensen de dupe zijn? Als mijn login een ander uikomt, zien ze dat toch niet?

Staat te spacen, maar ik ben niet van Star Trek

woensdag 21 maart 2012, 15:23 uur #8

afstandbediening

'vrot'

quote:
Op woensdag 21 maart 2012 @ 15:22 schreef aspi het volgende:
Maakt toch niet zoveel uit, als ze zelf een fout maken en geld verliezen krijg ik alles terug.

Oh en de laatste zin klopt niet, moet zat zijn ipv zag.

Dus zullen ze de bankkosten wel weer verhogen.

'krak'

woensdag 21 maart 2012, 15:28 uur #9

Joop_van_Amerongen

Joop de op Schepper

Alweer een hacker? Wordt tijd dat een kok of schoenverkoper zoiets ontdekt.

Verdraaid!

woensdag 21 maart 2012, 15:28 uur #10

Sopherian

dit is 1 van de redenen waarom ik die app gewoon NIET neem...

woensdag 21 maart 2012, 15:30 uur #11

wretic91

Floor ??!!! en ik maar denken dat het een slimme vrouw was !!!

woensdag 21 maart 2012, 15:31 uur #12

SantaMuerte

quote:
Op woensdag 21 maart 2012 @ 15:23 schreef Daggerspine het volgende:

[..]
Waarom heeft de iOS versie dan ook dezelfde update gehad?

Ook leuk dat er Android hardware op de foto staat onder het bericht

woensdag 21 maart 2012, 15:32 uur #13

AQuila360

Xbox Ultimate

Ik ga die dingen ook nooit gebruiken op een mobiel.

Shaderon: i say boom boom boom now let me hear you say weehooo
SpankmasterC: Tut mir leit Herr AQuila, es soll nicht wieder passieren!
RickoKun: Hey hoi! Ik kom bij dit topiqueje checken weetjuh!

woensdag 21 maart 2012, 15:32 uur #14

Black_Ninja

Ninja's bestaan!

quote:
Op woensdag 21 maart 2012 @ 15:28 schreef Sopherian het volgende:
dit is 1 van de redenen waarom ik die app gewoon NIET neem...

Wat zijn de andere redenen dan? Want ik ben er erg tevreden over

Domo Arigato!

woensdag 21 maart 2012, 15:33 uur #15

LucasHulshof

Muze

quote:
Op woensdag 21 maart 2012 @ 15:28 schreef Sopherian het volgende:
dit is 1 van de redenen waarom ik die app gewoon NIET neem...

Da's je goed gerecht.

Ik zou me meer zorgen maken om de rabo-app, die verzendt je gegevens gewoon plaintext via hotmail naar het filiaal van de bank.

woensdag 21 maart 2012, 15:37 uur #16

verplichtveldje

Dit betrof dus ook de iOS versie. Ik vraag me af wat voor bronnen FOK! gebruikt. Erg slecht iig.

woensdag 21 maart 2012, 15:49 uur #17

SantaMuerte

quote:
Op woensdag 21 maart 2012 @ 15:37 schreef verplichtveldje het volgende:
Dit betrof dus ook de iOS versie. Ik vraag me af wat voor bronnen FOK! gebruikt. Erg slecht iig.

quote:
Bron: Novum

woensdag 21 maart 2012, 15:53 uur #18

Joop_van_Amerongen

Joop de op Schepper

quote:
Op woensdag 21 maart 2012 @ 15:33 schreef LucasHulshof het volgende:
[..]

Da's je goed gerecht.

Ik zou me meer zorgen maken om de rabo-app, die verzendt je gegevens gewoon plaintext via hotmail naar het filiaal van de bank.

ah, you've been reading on the internet. It's al 100% true, indeed.

Verdraaid!

woensdag 21 maart 2012, 15:53 uur #19

Kent Farm.

quote:
Op woensdag 21 maart 2012 @ 15:28 schreef Joop_van_Amerongen het volgende:
Alweer een hacker? Wordt tijd dat een kok of schoenverkoper zoiets ontdekt.

Jij denkt dat Al Bundy dat lek gevonden had

Wat een bakker met 40 broden verdient, verdient een hoer met 1 snee!

woensdag 21 maart 2012, 16:19 uur #20

ADQ

quote:
Op woensdag 21 maart 2012 @ 15:21 schreef afstandbediening het volgende:
Ben blij dat ik bij een andere bank zit. ING blijft maar falen.

Hoezo fail?
nmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd. Hoogleraar Computerbeveiling Bart Jacobs van de Radboud Universiteit Nijmegen snapt niet dat dit lek maandenlang in de app kon zitten. "Het is een blamage dat deze fout gemaakt is. Dit is een hele elementaire beveiliging waar niet aan gedacht is. Hierom wordt de ING in securitykringen hard uitgelachen." De ING-app kwam begin november uit voor iOS en Android.

Update 16:08: Zoals tweaker Lupo1989 opmerkt, zit er meer beveiliging in de app dan alleen de ssl-verbinding. "Hierdoor kan er een man in the middle gedaan worden maar de informatie is alsnog onleesbaar doordat er twee encrypties erover heen zitten." It-consultant Mount Knowledge concludeerde eerder dat de encryptie er solide uitzag. "Er wordt niet vertrouwd op SSL of TLS. In plaats daarvan gebruikt ING een extra encryptielaag waarvoor het wachtwoord wordt afgesproken via het SRP protocol. Ook genereert elk mobiel device een eigen profileId en een public/private sleutelpaar." De enige theoretische kwetsbaarheid zat volgens die analyse in het registratieproces.

woensdag 21 maart 2012, 16:28 uur #21

banaan56

het blijft een hoop gekut, da's dus wel duidelijk.

woensdag 21 maart 2012, 16:28 uur #22

afstandbediening

'vrot'

quote:
Op woensdag 21 maart 2012 @ 16:19 schreef ADQ het volgende:
[..]

Hoezo fail?
nmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd. Hoogleraar Computerbeveiling Bart Jacobs van de Radboud Universiteit Nijmegen snapt niet dat dit lek maandenlang in de app kon zitten. "Het is een blamage dat deze fout gemaakt is. Dit is een hele elementaire beveiliging waar niet aan gedacht is. Hierom wordt de ING in securitykringen hard uitgelachen." De ING-app kwam begin november uit voor iOS en Android.

Update 16:08: Zoals tweaker Lupo1989 opmerkt, zit er meer beveiliging in de app dan alleen de ssl-verbinding. "Hierdoor kan er een man in the middle gedaan worden maar de informatie is alsnog onleesbaar doordat er twee encrypties erover heen zitten." It-consultant Mount Knowledge concludeerde eerder dat de encryptie er solide uitzag. "Er wordt niet vertrouwd op SSL of TLS. In plaats daarvan gebruikt ING een extra encryptielaag waarvoor het wachtwoord wordt afgesproken via het SRP protocol. Ook genereert elk mobiel device een eigen profileId en een public/private sleutelpaar." De enige theoretische kwetsbaarheid zat volgens die analyse in het registratieproces.

Heb je de lijst van storingen wel eens gezien? Daar gaat het mij om. Over de Rabo ABN en anderen hoor je vrijwel niets.

storing [

'krak'

woensdag 21 maart 2012, 16:30 uur #23

LucasHulshof

Muze

quote:
Op woensdag 21 maart 2012 @ 15:53 schreef Joop_van_Amerongen het volgende:

ah, you've been reading on the internet. It's al 100% true, indeed.

Ach, stop 'hacker' en 'bank' in één bericht en iedereen lult er maar wat in om. Niet gehinderd door enige kennis van zaken doe ik daar gewoon aan mee

woensdag 21 maart 2012, 16:34 uur #24

SuperToll

quote:
De app bleek niet te controleren of de server daadwerkelijk van ING was. Gebruikers van mobiel bankieren via de website moeten hetzelfde doen door te kijken of er slotje in de adresbalk van de webbrowser staat.

M.a.w. Er was dus geen SSL (https) verbinding. Niet echt slim en wel degelijk een risico voor klanten!

Het is steen geil.. eh, geen stijl.
Dat je met gespeende lullen.. eh, geleende spullen.
De bok van het dak af neukt.. eh, de nok van het dak af beukt!

woensdag 21 maart 2012, 16:35 uur #25

mschol

quote:
Op woensdag 21 maart 2012 @ 16:28 schreef afstandbediening het volgende:
[..]
Heb je de lijst van storingen wel eens gezien? Daar gaat het mij om. Over de Rabo ABN en anderen hoor je vrijwel niets.

storing [

je hoort er niks over dus ze hebben geen storing zeker?

woensdag 21 maart 2012, 16:41 uur #26

ADQ

quote:
Op woensdag 21 maart 2012 @ 16:34 schreef SuperToll het volgende:

[..]

M.a.w. Er was dus geen SSL (https) verbinding. Niet echt slim en wel degelijk een risico voor klanten!

Welke letters in het stuk hieronder heb je problemen mee?
"Hierdoor kan er een man in the middle gedaan worden maar de informatie is alsnog onleesbaar doordat er twee encrypties erover heen zitten."
Je kan het proberen, maar krijgt niets.

woensdag 21 maart 2012, 16:45 uur #27

SuperToll

quote:
Op woensdag 21 maart 2012 @ 16:41 schreef ADQ het volgende:
[..]

Welke letters in het stuk hieronder heb je problemen mee?
"Hierdoor kan er een man in the middle gedaan worden maar de informatie is alsnog onleesbaar doordat er twee encrypties erover heen zitten."
Je kan het proberen, maar krijgt niets.

Dat had ik nog niet gelezen want dit stond niet in het originele bericht.

Het is steen geil.. eh, geen stijl.
Dat je met gespeende lullen.. eh, geleende spullen.
De bok van het dak af neukt.. eh, de nok van het dak af beukt!

woensdag 21 maart 2012, 16:49 uur #28

afstandbediening

'vrot'

quote:
Op woensdag 21 maart 2012 @ 16:35 schreef mschol het volgende:
[..]

je hoort er niks over dus ze hebben geen storing zeker? _!

Twitter zou ontploffen als het internetbankieren zou uitvallen. Dus een minuut of vijf later staat het op elke nieuwssite incl naam van de bank en laat het nu altijd ING zijn

'krak'

woensdag 21 maart 2012, 18:19 uur #29

tralalala

Koekoek!

quote:
Op woensdag 21 maart 2012 @ 16:35 schreef mschol het volgende:
[..]

je hoort er niks over dus ze hebben geen storing zeker? _!

ING heeft echt te vaak storing. ABN en de Rabo hebben het gewoon beter voor elkaar.

woensdag 21 maart 2012, 18:47 uur #30

schaapjes

wilders schuld!!

donderdag 22 maart 2012, 07:52 uur #31

Joop_van_Amerongen

Joop de op Schepper

quote:
Op woensdag 21 maart 2012 @ 16:30 schreef LucasHulshof het volgende:
[..]

Ach, stop 'hacker' en 'bank' in één bericht en iedereen lult er maar wat in om. Niet gehinderd door enige kennis van zaken doe ik daar gewoon aan mee

Een echte Fok!ker

Trots.

quote:
Op woensdag 21 maart 2012 @ 15:53 schreef 46 het volgende:
[..]
Jij denkt dat Al Bundy dat lek gevonden had

Je zou bijna denken dat ik serieus ben

Verdraaid!

dinsdag 26 juni 2012, 18:37 uur #32

Hiergaanwedan

Komt hier komt gaan

quote:
Op woensdag 21 maart 2012 @ 15:28 schreef Sopherian het volgende:
dit is 1 van de redenen waarom ik die app gewoon NIET neem...

Sorry hoor, maar mensen met zo'n reactie als jij zijn vaak juist blind voor echte gevaren en worden verneukt via het uitschakelen van hun firewall, keyloggers e.d.

we dan

Reageer zelf