Beveiligingsexperts Hans de Looy van securitybedrijf Madison Gurkha en Arjen de Landgraaf, ceo van ceo van Co-Logic Security, waarschuwen smartphone-bezitters de toestellen niet te gebuiken voor bankzaken. Smartphones zijn nauwelijks beveiligd en voldoen niet aan de eisen voor het afhandelen van dergelijk belangrijk dataverkeer.

Volgens beide experts is het beter de toestellen niet te gebruiken voor bankzaken voordat de beveiliging op orde is. "Smartphones zijn natuurlijk per definitie megagevaarlijk", legt De Landgraaf uit aan Webwereld. "Want het zijn wel volledige computers. Als je kijkt naar je eigen computer dan heb je daar een firewall bij, dan heb je er anti-virus bij en misschien nog een gratis Trojan-ontdekker." Gewone computers hebben dus verschillende lagen beveiliging.

Geen beveiliging

"En op smartphones daar zit geen donder. Er zit helemaal niks!", aldus De Landgraaf. "Het zijn allemaal sitting ducks joh." Volgens hem is op dit moment het enige argument tegen beveiliging van de smartphones dat er op dit moment vier besturingssystemen zijn waarop de malwaremakers moeilijk kunnen focussen.

De Landgraaf denkt dat malwaremakers wel degelijk de focus gaan leggen op iOS apparaten zoals de iPhone of Android-telefoons om bijvoorbeeld phishing aanvallen uit te voeren en beltijd te gebruiken.

Onacceptabel risico

Ook De Looy wijst op het grote verschil tussen de beveiliging van smartphones en computers. "Ik ben een groot voorstander van het gebruik van internet om bankzaken te doen. Maar ik denk dat mobiele telefoons en smartphones op dit moment nog niet veilig genoeg zijn om dit met een acceptabel risico te kunnen doen."

Volgens De Looy wordt er erg weinig gedaan aan het beveiligen van data die wordt opgeslagen op het apparaat. Datzelfde geldt voor data die met smartphones wordt verzonden of ontvangen. "Pc's en laptops zijn daar een stuk verder in. Die kun je eenvoudig zodanig inrichten dat informatie die - al dan niet tijdelijk - wordt opgeslagen en die via het device wordt verstuurd dat dat op een veilige manier gebeurt. En dat gebeurt op dit moment bij mobiele devices absoluut nog niet", waarschuwt De Looy.

Hij adviseert dan ook voorlopig de smartphone niet te gebruiken voor internetbankieren. "Op dit moment nog niet. Ik verwacht dat dit binnen nu en drie jaar aanzienlijk anders zal zijn. Maar op dit moment ben ik er zeker geen voorstander van."

Beveiliging niet op orde

Daar komt nog bij dat banken mobiel hun eigen beveiliging vaak zelf helemaal niet op orde hebben. Vandaag werd bekend dat de manier van doorgeven van saldo-infromatie via de ING iPhone app niet veilig is. Eind vorig jaar bleek nog dat de mobiele versie van internetbankieren van de Rabobank volledig lek was. Kwaadwillenden waren in staat om met een brute force aanval kinderlijk eenvoudig de vijfcijferige inlogcode van klanten achterhalen.

Volgens De Landgraaf zou internetbankieren via de smartphone wel kunnen met bijvoorbeeld een tweefactor- of driefactor-authenticatie. Alleen is de hardware daar op dit moment nog niet klaar voor. Ook De Looy wijst op systemen die werken met bijvoorbeeld een calculator of TAN-codes.

Maar dat maakt het internetbankieren wel een stuk minder gebruiksvriendelijk. "Ik kan me voorstellen dat niet iedereen én zijn telefoon én verschillende calculators van mogelijk meerdere banken bij zich heeft", aldus De Looy.