De Android-applicatie van ABN Amro bevatte vorig jaar een beveiligingslek waardoor man in the middle-aanvallen mogelijk waren. Studenten van de Universiteit van Amsterdam ontdekten zelfs de mogelijkheid om de pincode en rekeninggegevens te onderscheppen en te decoderen.

De applicatie controleerde niet of het gebruikte ssl-certificaat wel klopte. Doordat het domein waarvoor het certificaat was uitgegeven niet werd gecontroleerd, was het voor een kwaadwillende mogelijk om de verstuurde gegevens te versleutelen.

Het probleem werd echter binnen enkele dagen door ABN Amro opgelost en een nieuwe Android-versie van de app was sinds 17 december 2012 beschikbaar. Volgens de onderzoekers is het lovenswaardig dat het slechts enkele dagen duurde voordat de 760.000 gebruikers hierover konden beschikken.

De onderzoekers vinden dat er een standaard methode moet komen voor het gebruik van certificaten in Android-applicaties. Ze gaan ervan uit dat de bevindingen niet alleen tot dit specifieke geval beperkt zijn.

Gebruikers die hun app sinds 17 december 2012 niet hebben bijgewerkt, zijn nog steeds kwetsbaar.

Link: uva.nl