Dit onderzoek analyseert alleen het netwerk verkeer en de daar gebruikte authenticatie. Om het risico van een man-in-the-machine aanval in te kunnen schatten is een analyse nodig van de app bestanden op het device. Daar heb je een gejailbreakte iPhone/iPad of geroote Android telefoon voor nodig. Als (grote als) de app goed is gemaakt wordt het 5 cijferige wachtwoord niet op het device opgeslagen. Als de server maar een aantal pogingen toestaat voordat het profileId wordt geblokeerd moet een man-in-the-machine zowel: 1) bij de bestanden van de ING app kunnen (bijv. door root op het device te zijn) voor het profileId en private key 2) het 5 cijferige wachtwoord achterhalen (bijv. door de app te vervangen door een phishing app die het wachtwoord naar een site upload) Als het echt goed in elkaar steekt zit er een afhankelijkheid tussen het profileId/private key en een uniek ID van het device (IMEI oid). Het helpt dan niet om de app bestanden van het device te kopieren, maar dan moet de aanvaller de app ...