Als je online met geld werkt, is het belangrijk om ervoor te zorgen dat al je gegevens veilig zijn, zelfs als je het hebt over een digitale cryptocurrency zoals Bitcoin. Eerder deze maand had Naked Security een artikel over een bug in de Coinbase-app voor Android-smartphones en -tablets die bij sommige mensen een beetje schrik veroorzaakten.
Bryan Stern, een beveiligingsonderzoeker, ging naar de beurs met kennis van de fout in de manier waarop de app SSL-verbindingen in de zijne verwerkt GitHub blog op 27 juni 2014. Voorafgaand aan dat bericht was hij heen en weer gegaan met Coinbase, die zei dat de fout niet echt ernstig was. Stern schrijft:
Met een gecompromitteerde SSL-verbinding kan een aanvaller volledige controle krijgen over het account van een gebruiker door zijn toegangstoken te stelen. Een aanvaller kan ook een verzoek om bitcoins te verzenden onderscheppen en zowel het bedrag als het bestemmingsadres wijzigen.
Terwijl de Android-app van Coinbase in feite de TLS certificaat dat wordt getoond wanneer het verbinding maakt met een Coinbase-server en ervoor zorgt dat het is ondertekend door een erkende certificeringsinstantie (CA), denkt Stern dat dit niet voldoende is. Andere financiële apps die HTTPS-clients gebruiken, nemen meestal extra stappen om kruiscontrole de TLS certificaten, een extra beveiligingslaag toevoegen.
Andreas Antonopoulos en anderen van Bitcoin hebben de beveiliging en solvabiliteit van Coinbase onafhankelijk gecontroleerd en de app is nu beschikbaar voor gebruikers over de hele wereld. Coinbase probeert de grens te verleggen tussen veiligheid en gemak voor gebruikers, en sommigen denken dat ze het goed doen met de gevaarlijke taak.
Dit alles leidt tot de vraag: zijn alle financiële apps veilig? In januari van dit jaar bekeek Ariel Sanchez van IOActive 40 verschillende iOS-bankapps. Uit het onderzoek bleek dat ongeveer 40% van de apps via HTTPS is verbonden zonder de certificaten te valideren. Zoals u weet, is dit een enorm beveiligingsrisico op het moderne internet.
En als we teruggaan naar Coinbase, zijn er nog andere zorgen die niet strikt verband houden met SSL /TLS. Een van de grootste problemen is dat privésleutels door Coinbase worden bewaard en niet aan de gebruiker worden gegeven. "Wat ik heb geleerd van het hebben van munten op Mtgox: als jij, en jij alleen, de privésleutels niet bezit, ben je niet de eigenaar van de munten", aldus Introshine online volgens een artikel in CryptoCoinsNews.
Hier zijn enkele beveiligingstips waarmee u rekening moet houden voordat u er een op uw mobiele apparaat installeert.
- Gebruik geen mobiele apps voor financiële transacties, tenzij u weet dat ze volkomen veilig zijn
- Gebruik een beveiligde desktopcomputer of laptop met een reguliere browser om uw bankzaken te regelen
- Als u apps voor mobiel bankieren gebruikt, zorg er dan voor dat u verbinding maakt met een VPN voor extra veiligheid en gemoedsrust
Als u het bovenstaande advies opvolgt, blijft u veilig. Hoewel Coinbase en anderen aan beveiliging denken wanneer ze mobiele apps uitbrengen, is het belangrijk om ervoor te zorgen dat u zelf maatregelen neemt om uw financiële gegevens online te beschermen.
