Wat nou als jailbreaken mijn telefoon juist veiliger maakt?

iphone-unlock-jailbreak.pngEen lezer vroeg me:

De ING heeft in de bankvoorwaarden opgenomen dat gebruikers van een gejailbreakte/geroote smartphone of tablet geen aanspraak kunnen maken om ontvreemd geld terug te krijgen indien ze slachtoffer worden van phishing. Maar mag dat eigenlijk wel?

Het is namelijk zo dat een jailbreak/root op papier meer schade kan berokkenen, omdat er meer aan te passen is, echter, het is veelal de enige weg om een proper security beleid te hanteren. Zo kan Android alleen een WPA2 Enterprise policy toepassen indien het apparaat geroot is. Avast biedt een firewall aan gebruikers van hun mobiele product, mits deze geroot is. iOS heeft ook diverse security features die alleen toepasbaar zijn op een gejailbreakte iOS.

In de wet staat dat de bank aansprakelijk is voor frauduleuze transacties, tenzij de klant grof nalatig is geweest in het gebruik van betaalmiddelen of beveiliging. Eind december hebben de banken strenge regels gesteld om te bepalen wanneer er van zulke grove nalatigheid sprake zou zijn.

De ING-bankvoorwaarden in kwestie zijn de voorwaarden voor het product* Mobiel Bankieren, en die vermelden inderdaad:

9.1 Als u gebruikmaakt van Mobiel Bankieren moet u ervoor zorgen dat het besturingssysteem van uw mobiele telefoon of tablet origineel en actueel is. Controleert u zelf regelmatig of er systeemupdates zijn.

Een gejailbreakte of geroote telefoon is niet “origineel en actueel”, dus dan overtreed je deze eis. En volgens artikel 16 is dat een probleem:

U bent volledig aansprakelijk voor de schade als u zich bij het gebruik van Mobiel Bankieren niet houdt aan deze voorwaarden.

Alleen: voorwaarden kunnen de wet niet opzij zetten, en de wet eist nog steeds die grove nalatigheid. Het is niet automatisch grof nalatig om je telefoon te rooten. Er zit wel een risico aan – een noob die iets hoort over jailbreaken, kan op vage sites gaan kijken en daar rare software binnenhalen die hem kwetsbaar maakt voor allerlei aanvallen. Dát kan grove nalatigheid opleveren. Wie niet weet wat hij doet, is grof nalatig zou ik zeggen. Zeker bij zoiets belangrijks als beveiliging.

Natuurlijk zou een bank kunnen zeggen, er is gejailbreakt dús overtreding regels dús grof nalatig, dag meneer. Zo werkt het wettelijk dus niet, alleen ja wat ga je doen als je bank dan gewoon in de “computer says no” modus blijft zitten?

Toevallig kwam ik deze blog tegen van iemand die mijn analyse uit die eerdere blog de ‘juristenval’ verweet: “de neiging van juristen om de werkelijkheid te zien zoals die door de wet wordt gedefiniëerd.” Wettelijk gezien mag de bank het niet doen, maar ze doen het lekker toch en je geld terugeisen is zó veel gedoe dat het geen zin heeft. In het extreme voorbeeld:

Het hoeft maar een klein beetje mis te gaan of ik zit al lang en breed in de daklozenopvang tegen de tijd dat ik via de rechterlijke weg mijn bank gedwongen heb de schade (deels) te vergoeden.

En tsja, ik kan niet ontkennen dat hij een punt heeft. Je recht krijgen is wat anders dan je recht hebben. En in het algemeen is het als consument heel moeilijk je recht te krijgen. Van je geld terug willen omdat een aankoop niet goed werkt tot een fraude laten herstellen door je bank.

Ik zou alleen niet weten hoe het anders moet. Meer dan uitleggen wat de wet zegt, zodat je een tegenargument hebt en dan hópelijk je bank kunt overtuigen, kan ik niet bedenken. Dreigen met consumentenprogramma’s, het bedrijf te drogen hangen op GeenStijl of Sargasso of rumoer maken zodat er Kamervragen over komen, het kan wel maar het voelt niet per se effectief.

Maar wat dan? De enige echte oplossing is als de banktoezichthouder hier bovenop gaat zitten en de kant van de consument kiest. Of dat de Consumentenbond nu weer om de tafel gaat met de banken. De Bond deed immers mee met het opstellen van die regels, en kan na deze ontstane commotie mooi scoren door de regels consumentvriendelijker op te stellen.

*Overigens erger ik me wezenloos aan de trend om dienstverlening ‘producten’ te noemen. Een product doet pijn als het op je tenen valt. Mobiel Bankieren (of gratis reizen buiten de spits) doet dat niet, dus is het geen product. Punt.

Arnoud

32 reacties

  1. Een product doet pijn als het op je tenen valt. Mobiel Bankieren (of gratis reizen buiten de spits) doet dat niet, dus is het geen product. Punt.

    [mierenn]Angrybirds doet ook geen pijn als het op m’n tenen valt maar is toch echt een product en geen dienst. Verder wel eens met de irritatie om alles maar een product te noemen en iedereen klant.[/mierenn]

    Ik denk dat de blogschrijver wel een goed punt heeft maar de vraagsteller lijkt goed op de hoogte te zijn van een goed security beleid. Wellicht dat met een goed gedocumenteerd beleid de juristenval minder wordt maar feit blijft wel dat de gebruiker moet kunnen aantonen dat er geen enkel verband is tussen zijn geroote device en de hack. Of moet de bank aantonen dat dat wél het geval is?

    1. Bij bewijs in het recht geldt, wie zich op een rechtsgevolg beroept moet de onderliggende feiten bewijzen.

      In de wet staat, de bank is aansprakelijk voor verlies/fraude tenzij de klant grof nalatig was. De bank wil niet aansprakelijk zijn dus moet de bank zich beroepen op de tenzij. De bank moet dus bewijzen dat er grove nalatigheid was. De bank wil dat doen door te zeggen “klant heeft telefoon geroot”, maar hoe ga je van dat feit naar “dit is grof nalatig”? Daar moet een juridisch/technisch argument tussen zitten.

  2. Om maar een beetje devil’s advocate te spelen, nog een argument tegen rooten: Eigenlijk is het “rooten” van een telefoon het uitvoeren van wat we in de exploit wereld een local privilege escalation noemen. Dat is een van de vervelendste soorten van exploits, namelijk die soort die je toegang geeft tot de root (=admin) account vanuit een andere gebruiker met minder rechten. Dit betekent dus eigenlijk dat de exploit de aanvaller (jij, degene die de telefoon root, in dit geval) alle mogelijke rechten geeft*. Diezelfde weg kan natuurlijk ook door andere aanvallers misbruikt worden. De uitzondering daarbij is de telefoons die je door bijv. door een debug poort aanspreekt om ze te rooten**. Maar: bij die telefoons waar het rooten ook echt een aanval is, moet je bedenken dat de verkoper blijkbaar niet wil dat je root toegang hebt. Die hebben dus een team die zo’n systeem opzetten, en die toch enig idee hebben wat ze doen. Hoe groot is de kans dat jij, als “power user”, beter weet wat je doet? Begrijp je de gebruikte exploit, en zou je hem zelf kunnen schrijven? Zou je dat ook zonder beschrijving van de exploit voorelkaar krijgen? Natuurlijk zijn er de echte hackers onder ons, maar dat is toch de minderheid van de mensen die hun telefoon rooten.

    • De academicus in mij wil hiernog bij aanmerken dat er ook nog zoiets als MAC bestaat. ** Hierbij valt nog aan te merken dat zo’n poort natuurlijk aan een PC hangt, en die PC kan natuurlijk ook gecompromiteerd zijn. Maargoed, in dat geval wordt je doelbewust aangevallen, en dan kan je je afvragen of het überhaupt nog wat uitmaakt of je telefoon geroot is.
    1. Ik ben van mening dat mensen volledige controle over hun eigendommen moeten hebben. Aangezien “rooten” inhoudt dat je de volledige controle over het apparaat in handen neemt, zie ik “rooten door de eigenaar” als goed, en “rooten door anderen” als slecht. Ik zie het ook als immoreel als er apparaten verkocht worden die niet door de eigenaar geroot kunnen worden: in wezen blijft de volledige controle dan bij de fabrikant, en dat doet af aan het eigendomsrecht van de koper.

      Tot zover het ideologische verhaal. Hoe valt dit in de praktijk te combineren met een goede beveiliging, als de gemiddelde gebruiker geen beveiligingsexpert is? In de praktijk zal de gebruiker de beveiliging altijd(*) moeten uitbesteden aan een externe partij, door software en -updates te ontvangen van die partij. Rooten komt dan neer op het overstappen van beveiliging+software van de ene partij naar software+beveiliging van de andere partij.

      Merk op dat het bij PCs vanouds heel normaal is dat ze zijn te “rooten”, en dat dit niet als een (groot) beveiligingsprobleem wordt gezien. Meer algemeen geldt de regel dat een apparaat altijd “geroot” kan worden als mensen er fysieke toegang toe hebben (met variërende mate van moeilijkheid), dus je zult sowieso om moeten gaan met het bestaan van deze mogelijkheid.

      Mijns inziens is het overstappen op een andere partij voor software+beveiliging niet per sé nalatig. Dit lijkt me wel van belang: * Hoe heeft de gebruiker gecontroleerd dat de geïnstalleerde software echt afkomstig is van de door hem gekozen partij? * Hoe betrouwbaar+deskundig is de door de gebruiker gekozen partij? (wie zou dit moeten beoordelen? De bank? De rechter? En hoe beoordeel je betrouwbaarheid?) * In het geval van werkelijke schade: is die schade ook echt veroorzaakt door een fout in de geïnstalleerde software, en was die fout niet aanwezig in de oorspronkelijke software?

      (*) Ik zie mezelf als een computerexpert, en toch besteed ik dit zelf ook uit. Complete besturingssystemen zijn gewoon te groot om zelf al het beveiligingsnieuws te volgen en updates in elkaar te klussen. Daarnaast: ik heb wel wat beters te doen met mijn tijd.

      1. Het verschil tussen PC en mobile device is dat je bij de PC via de juiste weg (een root password) toegang hebt, terwijl je bij de mobile devices meestal een exploit moet gebruiken (die dan ook gepatcht worden, na enige tijd). Het is niet zozeer dat het PCs geen probleem is, maar meer dat PCs vanouds geen beprerkingen hadden. Ik geloof ook dat een dergelijke PC zich niet zo goed laat verkopen, hoewel het puur uit security zicht geen slecht idee is voor gebruikers die het system niet willen of kunnen beveiligen.

    2. Verder advocaat van de duivel. Je hebt in handen een document met alle fraude gevallen van 2 jaar mobiel bankieren. Hieruit blijkt:

      • Merendeel veroorzaakt door social engineering en phishing mails
      • Een groot deel dankzij het achterlopen van updates en installeren van malware apps (die je wel updated, maar waar in de update juist de payload zit)
      • Een klein maar significant deel door het rooten van het apparaat en daarbij gebruikelijk niet installeren van de volgende updates, maar wel installeren van een boel (uit illegale bron; gemaakt door hackers en crackers met onduidelijke motieven) gedownloade apps.

      Dan ga je als bank natuurlijk kijken hoe je deze problematiek aan kan pakken. Het kost immers veel geld. Voor social engineering en phishing mails kun je voorlichting geven en opsporing meer budget toewijzen. Zodra hierover voldoende voorlichting bestaat bij het publiek (en de rechter) zal het trappen in een nep mail grof (buitensporig) nalatig zijn. Je gaat dus investeren in voorlichting en bestrijding, hetgeen we nu zien.

      Tegen het achterlopen van updates kun je niet zo veel doen. Voorlichting misschien. Maar dat je het als nalatig wil laten kwalificeren lijkt me logisch. Dat de bank haar risico wil beperken door updates te verplichten (zodat apps waarvan al lang bekend is dat ze malware bevatten worden geblokkeerd, en niet nalatig blijven draaien) is wederom logisch.

      Alle gevallen bij de bank bekend van rooten zullen te maken hebben met fraude. Die hacker die het voor elkaar krijgt z’n device te rooten en z’n eigen veiligheid garandeerd, daar hoort men niets van, zolang het goed gaat. Het gaat klaarblijkelijk vaak genoeg fout. Een geroot device geeft andere exploits een Administrator account.

      Ik vind het wel eerlijk zo. Jij mag nog steeds internetbankieren op je (door een PDF-exploit) gerootte tablet. Jij mag niet meer bij de bank aankloppen als blijkt dat de root-schrijver uit oost-europa kwam en voor de mafia werkt. Dat is namelijk wel het niveau waarop je hier opereerd.

  3. 9.1 Als u gebruikmaakt van Mobiel Bankieren moet u ervoor zorgen dat het besturingssysteem van uw mobiele telefoon of tablet origineel en actueel is. Controleert u zelf regelmatig of er systeemupdates zijn.

    Niemand kan hier aan voldoen tenzij je een nexus neemt of elke 3 maanden een nieuwe telefoon koopt. Mijn htc desire was origineel maar niet actueel (android 2.historisch) Nu is hij middels “hacks” en CM niet origineel maar wel actueel

    Ik gebruik deze telefoon overigens als speel telefoon voor de kids en bankier op mijn Nexus4 (en ook op mijn PC) Persoonlijk denk ik dat een CM / rooted telefoon met de laatste patched versie veiliger is dan origineel en historisch

    1. Hmm. Zou een redelijke uitleg van ‘actueel’ gezien de stand van de markt automatisch inhouden ‘allerlaatste bleeding edge van Android’? Lijkt me niet. Actueel betekent voor mij eerder, loopt geen jaren achter met beveiligingsupdates. Windows XP zou ik een twijfelgeval vinden qua ‘actueel’ op pc’s. Zolang Microsoft het nog update, is het nog actueel toch?

      1. Eigenlijk lijkt me dat wel van dat bleeding edge…Wanneer er exploits bekend zijn voor oudere androids/ios/WindowsPhone dan lijkt me het niet dat een bank zegt van oh dat geeft niet. Eerder iets van koop maar een nieuwe telefoon die wel up to date is. Grof nalatig is het niet als je telefoon niet meer van updates kan worden voorzien, maar inderdaad probeer je recht maar eens te halen bij een kolos met teveel geld voor advocaten 🙁

      2. Het gaat toch om de beveiliging? Dan is volgens mij alleen van belang of de leverancier nog adequate beveiligingsupdates levert, en niet of je de “bleeding edge” versie hebt. “Bleeding edge” kan juist nieuwe features bevatten die nieuwe beveiligingsfouten introduceren; bij oude software zijn de best zichtbare fouten er al uit gehaald.

        Aan de andere kant: als ik me goed herinner was het in het geval van windows XP zo dat 1 van de argumenten van microsoft om updates stop te zetten dat het hele beveiligingsmodel van windows XP zo sterk is verouderd dat updates het systeem niet veilig kunnen houden. Ik weet niet of ik dit nou echt een goed argument vind, maar het laat wel zien dat een oude versie ook structurele problemen kan hebben. Maar toch: er blijft een sterke link tussen het ontvangen van updates en het veilig blijven van de software.

        1. In de praktijk zal de discussie andersom gevoerd worden denk ik. Je bént gehackt/gephist en dat is te herleiden tot een fout in je apparaat, bv. een niet-gefixt beveiligingsgat. Dan komt de discussie neer op, had dat gat gefixt kunnen zijn zonder al te veel moeite. Draai je een oude XP met achterstallige updates inclusief eentje die het had kunnen fixen, ja dan kun je best eens grof nalatig zijn geweest. Ben je gehackt op de dag dat de bug werd gepubliceerd in securityland, dan zie ik niet hoe je grof nalatig kunt zijn ook al draai je Android 2.prehistorie.

          Grof nalatig == dit had je eenvoudig kunnen voorkomen, noob dat je er bent.

          1. Op mijn HTC Desire T-mobile bloatware kreeg ik geen updates meer terwijl er bekende lekken waren. Je hebt dan al binnen de kortste keren een telefoon die “actueel” is: Wordt niet meer bijgewerkt door T-mobile/HTC Als er al bijgewerkt wordt dan loop je heel lang te wachten tot iedereen zijn plasje er over heeft gedaan Dus een telefoon bij een abbo is in mijn ogen niet actueel maar wel op de laatst beschikbare versie (die achter loopt)

            Oplossing CM of een andere wel bijgewerkte release maar dan is hij niet meer origineel PS het zelfde gaat waarschijnlijk ook op voor alle andere {redelijk recente werkende telefoon} met {extra meuk van fabrikant} met {extra meuk provider} PS2 op mijn xp controleer ik wat er bijgewerkt word, op “mijn” telefoon kan ik geen ……..

            1. Een andere oplossing is om te zeggen dat T-Mobile een niet-conforme telefoon (met veiligheidsgaten) heeft geleverd en daarbij nalatig is geweest in het herstel van de conformiteit (beschikbaar stellen van veiligheidsupdates)… Laat de bank en de telefoonleverancier het maar onderling uitvechten wie de schade vergoedt!

              Een deel van het probleem komt omdat de banken te goedkoop zijn om eigen, betrouwbare, betaalhardware te ontwikkelen.

  4. Nog een argement VOOR rooten : tegenwoordig MOET je je telefoon (Android) wel rooten om je privacy settings aan te kunnen passen. Google was op weg hiermee zonder rooten (was verborgen in Android 4.3) , maar in de Kitkat versies is het er weer uitgesloopt. Met root rechten kun je alsnog met een app de settings wijzigen. Waarom vraagt ABN bijvoorbeeld om toestemming voor mijn sociale informatie? Waarom om te bellen? Waarom wil de Rabobank app foto’s en video’s kunnen maken? Ik begrijp nog een soort van dat ING mijn geinstalleerde applicaties wil weten (malware detectie?), maar dan nog…de app draait toch in een sandbox? Bouw je app dan zo dat externe apps niet bij de ING app kunnen komen.

    Kortom: ik gebruik geen mobiel bankieren (zoveel haast heb ik met bankieren ook weer niet dat het niet kan wachten tot ik thuis voor de pc zit) tot ze zelf normale rechten vragen: netwerk toegang lijkt me meer dan genoeg? Niks opslaan, niks uitlezen, behalve toetsenbord invoer….Enne laat ABN dan ook eens stoppen met Omniture. Verplicht toegankelijk maken of je kunt zelfs niet inloggen. Of maken ze daar geen gebruik van met mobiel bankieren?

    Overigens maakt het nog verschil of je via de webbrowser op je tablet/telefoon of met de mobiel bankieren app van de bank zou bankieren?

  5. Stelling: Mobieltjes die meer dan een jaar oud en niet ge-root zijn, zijn onveilig.

    Argument: De meeste leveranciers van telefoons zijn uitermate traag bij het uitbrengen van updates voor de software, zelfs waar dat gaat om veiligheidspatches. Voor de meeste telefoons ontvangen hun laatste updates binnen een jaar na aankoop. Dat betekent dat niet-geroote telefoons per definitie alle bekende veiligheidsgaten bezitten en de bezitter zich niet ingespannen heeft om zich tegen die bekende veiligheidsgaten te beschermen.

      1. Nee, die conclusie mag je niet uit mijn stelling trekken. Was het maar waar. Alle drie varianten staan open: minder onveilig, net zo onveilig, of nog onveiliger. “Nog onveiliger” is trouwens weinig relevant: het maakt voor een inbreker niet veel uit of er één of meerder deuren open staan.

        Waar het mij om gaat is, dat een eis van de banken dat software “origineel en actueel” is in combinatie met de interpretatie van Arnoud dat dat jailbreaken uitsluit, een contraproductieve voorwaarde is. Deze voorwaarde is noch in het belang van de banken, noch in het belang van de consument.

    1. Voor Androiddevices: helemaal eens.

      Het aantal gebruikers met een ‘geroote’ Androidtelefoon is verwaarloosbaar ten opzichte van alle devices die vatbaar zijn voor een of meerdere vulnerabilities die tot privilege escalation kunnen leiden. Dit is een fundamenteel probleem omdat fabrikanten een device al snel uberhaupt niet meer van updates voorzien, laat staan dat men specifieke securityupdates uitbrengt.

      Met de stelling dat rooten een device juist veiliger maakt ben ik het ook niet eens – aanwezige vulnerabilities worden er immers niet door gepatched.

    2. Datzelfde probleem geldt natuurlijk ook voor windows machines, prijzige virusscanners en vergelijkbare zaken. Dat microsoft toevallig langer dan de meesten support bied, heeft daar verder weinig mee te maken. Ik denk dat de banken vooral veel te veel van het microsoftmodel uit gaan.

  6. Banken kunnen zich domweg niet permitteren om iedereen te weigeren die niet de allerlaatste versie van Android of iOS op z’n device heeft, of de allerlaatste browser en systeemupdates. Ze gooien nu de verantwoordelijkheid voor de veiligheid naar de consument, terwijl er multi-factor authenticatiemethodes zijn die bijvoorbeeld spy en malware redelijk effectief nutteloos maken.

    Als jij op je aparte randomreader of hoe zo’n ding ook heet ook een rekeningnummer en een bedrag in moet vullen voordat je een authenticatiecode krijgt, kan die malware je betaling niet kapen en maakt het helemaal niet meer uit wat er op staat. Je boeking werkt gewoon niet als er malware bezig is.

    Banken kiezen er voor om mobiel bankieren zonder zo’n aparte reader te doen, of om extra stappen als bedrag en rekeningnummer op de reader invullen te implementeren. Dat maakt dat banken bewust kiezen dit risico te nemen en als consument kan je hier niets aan doen zolang er geen enkele bank is die dit wel doet. Dat maakt automatisch dat banken de enige zijn die dit risico accepteren en ze zullen dan ook de verantwoordelijkheid en aansprakelijkheid moeten accepteren als er wat mee mis gaat.

    1. Banken kunnen zich domweg niet permitteren om iedereen te weigeren die niet de allerlaatste versie van Android of iOS op z’n device heeft

      Het gaat dan ook niet om weigeren van klanten maar om het weigeren van een schadevergoeding als een klant slachtoffer is van een frauduleuze transactie.

    2. Banken zouden wel een lijst kunnen maken van devices/fabrikanten die zij als veilig beschouwen. Een fabrikant die geen of weinig updates uitbrengt komt niet op die lijst en zal dit terugzien in zijn verkoopcijfers.

  7. Ook even advocaat van de duivel:

    Als basisaanname is het natuurlijk wel logisch dat de bank verantwoordelijk is voor zijn deel van het systeem, zeg maar de servers en de databases, en de gebruiker voor zijn deel, de hardware die hij gebruikt om contact te maken.

    Dat de bank dus zegt tegen de klant: ‘Als jouw systeem potentieel onveilig is, kunnen wij niets voor je doen in geval van fraude, dan is dat eigen risico’, vind ik nog niet zo vreemd.

    En dat de gemiddelde gebruiker niet kan inschatten of zijn systeem veilig is, of dat het duur is om daarvoor te zorgen, is misschien een echt maatschappelijk probleem, maar niet de schuld van de bank.

    Dan doe je maar geen mobile banking. Of dan gebruik je daar alleen een door de bank goedgekeurd (of zelfs geleverd!) systeem (smartphone + officiële bank-app) voor. De bank moet dan maar zorgen dat die app niet werkt als het systeem van de gebruiker niet aan de eisen voldoet.

    Een bankkaart met een beschadigde chip werkt ook niet in de geldautomaat, dat vind iedereen normaal. Waarom zou een substandard smartphone (volgens de bank althans) dan wel moeten werken?

    Waarom zou de bank zelfs moeten specificeren welke systemen goed zijn: ‘origineel en actueel ‘. Je zorgt als gebruiker maar dat je systeem goed is anders ben je, zelfs zonder allerlei clausules en contracten, toch de facto aansprakelijk?

  8. De vraag die in mij opkomt is: Hoe komt de bank erachter dat je telefoon geroot is?

    Een tweede vraag: Er zijn apps die niet werken op devices met root access, als de banken hier zo bezorgd over zijn, waarom controleren ze hier dan niet op en weigeren te werken? Is de bank niet zelf nalatig dat ze dit toelaten?

    Zoals gezegd zijn veel custom roms geroot, maar oude ongepatchte versies van android zijn remote exploitable. Wat is hier nu eigenlijk het risico van rooten en custom roms? Minder dan op de oude android versie blijven in ieder geval. edit: en CM heeft tegenwoordig standaard geen root access meer!

    Oh en er zijn telefoons die af fabriek root access bieden, deze zijn origineel en niet gejailbreakt, maar (zie vraag 2) de bank vind die wel veilig?

    Ik blijf lekker internetbankieren van mijn telefoon met CM. Alleen gebruik ik daar nooit een app voor, maar altijd de browser en de website van de bank. Ik heb de e.dentifier en bankpas toch altijd bij me. Veel succes met aantonen dat ik een geroote telefoon heb als het ooit nodig mocht zijn.

    1. Oh en er zijn telefoons die af fabriek root access bieden, deze zijn origineel en niet gejailbreakt, maar (zie vraag 2) de bank vind die wel veilig?

      Dit punt wilde ik ook aanhalen. Mijn vriendin heeft bijvoorbeeld een nieuwe smartphone welke uit de doos root access heeft, laatste update betreft android 4.3 (niet de laatste dus).

      op basis van :

      9.1 Als u gebruikmaakt van Mobiel Bankieren moet u ervoor zorgen dat het besturingssysteem van uw mobiele telefoon of tablet origineel en actueel is. Controleert u zelf regelmatig of er systeemupdates zijn.
      niets aan de hand dus.

      Arnoud trekt als conclusie:

      Een gejailbreakte of geroote telefoon is niet “origineel en actueel”, dus dan overtreed je deze eis. En volgens artikel 16 is dat een probleem:
      welke mijnsinziens te voorbarig is.

      1. Volgens mij is een geroote telefoon niet gelijk aan een telefoon met root access. Een telefoon die standaard root access heeft is niet geroot terwijl een telefoon die niet standaard root access heeft wel geroot kan worden om deze access te krijgen.

        1. Goed punt, zo had ik haar ook niet geïnterpreteerd.

          ‘Geroot’ zou dan de moedwillige en bewuste handeling betreffen om root access te verkrijgen. Terwijl een toestel met af-fabriek root access daar niet onder vallen.

          Ik voel al aankomen dat menig lezer het verschil niet helder heeft en nog wel wat discussie gaat opleveren, zo ook de ‘klantenservice’ bij een bank.

          1. Dan is mijn vraag natuurlijk wat het verschil in veiligheid is tussen een geroote telefoon en een telefoon met root? En waarom is het eerste volgens de banken blijkbaar grove nalatigheid en het laatste niet?

            Deze bank regels kloppen van geen kant, als ze domweg deugdelijke 2-factor authentication verplicht stelen, dan maakt het niets uit hoeveel troep je op je pc of telefoon hebt staan. In dat geval kunnen ze namelijk de opdracht niet manipuleren. Uiteraard is een bank app en een code generator app op 1 telefoon dan uit den boze.

            Natuurlijk wordt het mindergebruiksvriendelijk als je elk rekening nummer waarnaar je geld overmaakt door zo’n apparaat moet halen om per rekening een code te genereren. Maar dan is het vervolgens wel onmogelijk om de boeking om te leiden naar een andere rekening! Dat de banken dit niet doen is hun keuze: zij kiezen voor een systeem dat doormiddel van spyware / man in the middle te omzeilen is. Dan lijkt het mij niet meer dan redelijk dat zij het risico dragen.

            Men neme een authenticator die als invoer een getal, pinpas en een pincode neemt en daarme een hash genereert. Die hash genereert men voor ieder rekening nummer en voor het totaal bedrag. Zolang de hacker geen toegang heeft tot pinpas en pincode kan hij alleen meekijken met wat er gebeurt, maar aanpassen van totaal bedrag en rekeningnummers is er niet bij. Enig risico is dat de attacker je adresboek hacked en daar rekeningnummers in aanpast. Noem mij ouderwets, maar ik controleer die tot ik ze automatisch herken.

            1. Dan is mijn vraag natuurlijk wat het verschil in veiligheid is tussen een geroote telefoon en een telefoon met root? En waarom is het eerste volgens de banken blijkbaar grove nalatigheid en het laatste niet?

              Omdat een telefoon met root access zo is gemaakt door de fabrikant die er waarschijnlijk goed over nagedacht heeft. Een geroote telefoon wordt altijd gedaan door het downloaden van een of ander progje verkregen op een vage site. Je weet als (standaard) gebruiker niet wat dat progje allemaal nog meer doet.

              Verder zal een telefoon vaak geroot worden omdat mensen er niet-officiele software op willen zetten waarbij er dus wederom minder controle is over wat er precies opgezet wordt.

              Overigens ben ik het met je eens dat deze regels van de banken niet kloppen en dat ze de beveiliging vooral zelf moeten verzorgen. Dit zal echter social engineering niet tegengaan en dat blijft een probleem. Je mag, wat mij betreft, best voorwaarden opstellen waarbij mensen een (groot) eigen risico hebben als ze zelf hun veiligheidscodes geven.

              Voor kwetsbare groepen (ouderen) zou er een methode moeten zijn waarbij er extra zekerheden ingebouwd worden (ten koste van wat extra gemak/snelheid).

  9. Mij lijkt het een goed idee dat als een bank eisen stelt aan te gebruiken apperatuur de bank deze ook gewoon aan haar klanten moet leveren. Gewoon een device waar je mee kan bankieren en verder basta. En ja graag inbegrepen bij de rekening die je opent en toch al grof voor betaalt tegenwoordig. Het moet eens afgelopen zijn dat banken ons dwingen internet/mobiel te bankieren en dan ook nog denken te mogen zeggen hoe we onze eigen apperatuur mogen gebruiken, belachelijk gewoon.

    1. Het huidige systeem geeft toch meer vrijheid aan de klant dan wat jij voorstelt. Als je het door jou voorgestelde systeem wilt, dan kan je dat makkelijk binnen het huidige systeem realiseren, door gewoon een extra apparaatje aan te schaffen voor internetbankieren, naast je andere apparaten die je helemaal naar eigen inzicht beheert.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.