Dit schrijft de Volkskrant zaterdag. Het lek zou ontstaan door de inlogmethode van Google. Met een Google-account kan ingelogd worden in de browser op de computer, maar ook in de smartphone en de tablet.
Volgens de onderzoekers hoeft alleen te worden ingebroken in de browser van iemand om ook de smartphone over te nemen. Een onderzoeker wist in de praktijk via de browser de inloggegevens van een Google-account te achterhalen.
Hiermee kon hij op afstand een kwaadwillende app installeren op de telefoon en vervolgens kon hij de gehele smartphone controleren inclusief het lezen ven berichten, installeren van andere software en het aanzetten van de camera.
Alle versies
Een woordvoerder van het Nationaal Cyber Security Centrum (NCSC), dat de casus van de onderzoekers heeft ingezien, verklaart tegenover NU.nl dat het lek voor alle versies van Android geldt. Volgens het NCSC moeten gebruikers eerst zelf wel de app op de smartphone openen om hackers toegang te geven tot de hele telefoon.
“Daarom is bewustwording ook zo belangrijk”, benadrukt de woordvoerder. ”Zorg dat je niet via gekke linkjes software downloadt op je computer en zorg dat je virusscanner up to date is. En als je vervolgens toch een raar appje op je telefoon te zien krijgt. Krab dan achter je oren en open het niet.”
ING
De wetenschappers hebben hun resultaten eind vorig jaar met Google gedeeld, maar het bedrijf zou er nog niks mee gedaan hebben. Volgens het NCSC is het vooral aan Google om dit probleem op te lossen. Ook het Team High Tech Crime (THTC) is op de hoogte gebracht net zoals de banken.
Ook ING werd op de hoogte gebracht. De bank gebruikt verificatiecodes die naar iemands telefoon worden gestuurd als onderdeel van de beveiliging. De VU-onderzoekers wisten deze codes te onderscheppen.
ING laat weten dit soort cyberrisico’s altijd nauwlettend in de gaten te houden. De bank benadrukt ook eigen detectiemaatregelen te nemen om de kans op fraude te beperken. En mochten klanten toch getroffen worden dan heeft ING regelingen om de schade te vergoeden.
Een woordvoerder van de betaalvereniging Nederland laat weten dat ze op de hoogte zijn van de dreiging en dat ze er mee bezig zijn.
Bij Google was zaterdagmorgen niemand bereikbaar voor commentaar.