Veel apps voor mobiel bankieren slecht beveiligd
De audit door onderzoeker Ariel Sanchez van IOActive Labs van de apps die de meeste mensen het best beveiligd zouden willen zien had alarmerende resultaten. Op een rijtje:
- 90 procent bevat links zonder SSL, waardoor een aanvaller bijvoorbeeld een nep-inlogpagina kan sturen;
- 90 procent heeft geen jailbreakdetectie, waardoor informatie van een gestolen telefoon kan worden uitgelezen;
- 70 procent heeft geen multi-factor authencatie;
- 50 procent is kwetsbaar voor cross site scripting;
- 40 procent stuurt gevoelige informatie mee met het system log, bijvoorbeeld in crash reports, die gebruikt kan worden om kwetsbare plekken te vinden;
- 40 procent valideert SSL-certificaten niet en is daardoor gevoelig voor Man in the Middle-aanvallen;
- 30 procent heeft inloggegevens voor de bank in de code staan;
- 20 procent heeft Position Independent Executable (PIE) en Stack Smashing Protection uit staan, waardoor het geheugen gecorrumpeerd kan worden.
Sanchez heeft geen Nederlandse banken onderzocht, maar er is geen reden om aan te nemen dat die het beter doen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee