Mobiel bankieren apps van veel grote buitenlandse banken bevatten beveiligingslekken, zo blijkt uit onderzoek. Ariel Sanchez van beveiligingsbedrijf IOActive onderzocht 40 mobiel bankieren apps voor iOS van de 60 invloedrijkste banken ter wereld.

Om welke banken het precies gaat wil de onderzoeker niet zeggen, maar hij toont wel een wereldkaart met de landen waar de banken zich bevinden. Dan blijkt dat het in ieder geval niet om Nederlandse banken gaat.

Aanvallen

De mobiel bankieren apps bleken voor allerlei aanvallen kwetsbaar te zijn. Zo controleert 40% van de onderzochte apps niet het SSL-certificaat. Hierdoor zou een aanvaller een man-in-the-middle-aanval kunnen uitvoeren. Ook bevatte 90% van de apps een aantal links die niet via SSL liepen. Hierdoor zou een aanvaller het verkeer kunnen onderscheppen en willekeurige JavaScript/HTML-code kunnen injecteren, bijvoorbeeld om een nep-inlogvenster op de iPhone of iPad te tonen.

De helft van de apps was kwetsbaar voor Cross-Site Scripting waardoor in bepaalde gevallen het mogelijk was om sms-berichten en e-mails vanaf het toestel te versturen. 30% van de apps had in de code 'hardcoded' inloggegevens staan. 40% van de applicaties lekte vertrouwelijke informatie via de systeemlogs.

Uitdaging

"Mobiel bankieren apps die voor mobiele apparaten zijn aangepast, zoals smartphones en tablets, zijn een grote veiligheidsuitdaging voor banken over de hele wereld. Zoals dit onderzoek laat zien moeten banken de beveiligingsstandaarden die ze voor hun mobiel bankierenoplossingen gebruiken verbeteren", aldus Sanchez, die een aantal van de banken inlichtte.