Door een lek in het besturingssysteem Android, dat in verreweg de meeste smartphones zit, is het eenvoudig om de beveiliging van bijvoorbeeld DigiD, ING Bankieren en Paypal te kraken. Criminelen kunnen zo simpel toegang krijgen tot mobieltjes. Vervolgens kunnen zij alles met die telefoons doen, waaronder het ongezien misbruiken van de sms-verificatiemethode die bovengenoemde diensten gebruiken.

Dit is ontdekt door onderzoekers van de Vrije Universiteit in Amsterdam. Het probleem wordt veroorzaakt door de maker van Android zelf: Google. Doordat gebruikers één Google-gebruikersnaam hebben om verschillende apparaten te bedienen (computer, tablet, smartphone), kan iemand die een internetbrowser heeft geïnfecteerd via Google eenvoudig kwaadaardige apps installeren op een mobiele telefoon. Dit zonder dat gebruikers iets op hun mobieltje doen.

De onderzoekers, Radhesh Krish-nan, Victor van der Veen en hoogleraar systeem- en netwerkbeveiliging Herbert Bos, hebben hun bevindingen in een vroeg stadium gedeeld met Google. Bos: 'Ze weten er sinds eind 2014 van, maar tot onze verbijstering doen ze er niets aan. Dit is een groot veiligheidsrisico.'

Bos heeft ook het Nationaal Cyber en Security Centrum (NCSC) en het Team High Tech Crime (THTC) van de politie ingelicht. 'Bij de politie namen ze het wel serieus.' Ook ING vindt het probleem ernstig. Een maand geleden zei de bank aan een oplossing te werken. Bos: 'Omdat het nog altijd niet opgelost is, is het tijd om het grote publiek te informeren.'

Alles bij de bron; Volkskrant