Sinds een dag of twee zijn de applicaties SaldoCheck en BankSaldo uit de App Store verdwenen. Navraag bij ontwikkelaar oJoCo maakt duidelijk dat de Rabobank achter de verdwijning van SaldoCheck zit. Deze bank heeft stappen ondernomen tegen iPhone-applicaties waarmee je kunt inloggen op de mobiele website en zodoende je saldo kunt opvragen.
oJoCo kreeg na het beschikbaar komen van SaldoCheck 1.1 (zie review) een e-mail van Apple, met de mededeling dat de Rabobank een verzoek had ingediend om de applicatie uit de App Store te verwijderen. De Rabobank was van mening dat de applicatie SaldoCheck onder het Nederlandse recht inbreuk maakt op de rechten van de bank. oJoCo kreeg vijf dagen de tijd om te reageren en het verzoek om contact op te nemen met de Rabobank.
Uit dat contact bleek welke bezwaren er tegen SaldoCheck waren, onder andere dat de Rabobank geen controle heeft over het inloggedrag van SaldoCheck en dat oJoCo alle toegang tot de financiële gegevens van de klant krijgt. Dat laatste is volgens oJoCo niet het geval. Wat het inloggen betreft verlaten de beveiligde inloggegevens in SaldoCheck alleen het programma wanneer er contact is met de website van de bank en het servercertificaat is geverifieerd.
Verder vindt oJoCo dat de Rabobank niet met twee maten moet meten en ook applicaties als Wallet en 1Password zou moeten verbieden. Die bieden namelijk ook de mogelijkheid om de applicatie zó in te stellen, dat je met één klik bij de mobiele website van de Rabobank inlogt. SaldoCheck biedt precies dezelfde functionaliteit, met als verschil dat je niet het webadres hoeft op te geven en je geen inlogschermen te zien krijgt. Technisch gezien doen wachtwoordprogramma’s als 1Password exact hetzelfde als SaldoCheck, meent oJoCo. In beide gevallen log je in op een vaste webserver, door het automatisch invoeren van vooraf ingestelde inlog- en wachtwoordvelden. De ontwikkelaar vindt ook dat de Rabobank helemaal geen controle heeft over het inloggedrag van welk programma dan ook: voor Windows bestaan er meer dan 20 webbrowsers, die je ook als apart programma kunt beschouwen en waar de Rabobank geen controle over heeft. In feite heeft de Rabobank alleen controle over de eigen serversystemen.
Vanwege de klacht van de Rabobank (en de juridische stappen waarmee werd gedreigd) gaat oJoCo binnenkort SaldoCheck 1.2 uitbrengen, waarin het niet meer mogelijk is om bij de Rabobank in te loggen. Eigenaren van SaldoCheck 1.1 die de applicatie hebben gekocht om juist bij de Rabobank in te loggen, kunnen de update dus beter niet installeren. De Rabobank heeft de handen nu weer vrij om achter aanbieders van wachtwoordapplicaties zoals 1Password aan te gaan.
Voor het laten weghalen van de applicatie valt enerzijds wel iets te zeggen: de Rabobank heeft er geen belang bij als klanten gewend raken om via allerlei applicaties van derden hun bankgegevens in te vullen. Voor je het weet vullen ze achteloos hun gegevens in een phishing-applicatie in en zijn de gevolgen niet meer te overzien. Van de andere kant lijkt SaldoCheck technisch gezien niet veel anders te doen dan de wachtwoordapplicaties, al heb je er als doorsnee gebruiker minder zicht op wat er (achter de schermen) in de applicatie zoal gebeurt met je gegevens. Bij een browser weet je dat trouwens ook niet altijd.
Rabobank heeft het bedrijf Ojoco, eigenaar van de Iphone applicatie SaldoCheck, verzocht te stoppen met het vragen van rekeningnummer en persoonlijke toegangscodecode (Tin-code en I-code met de Random Reader) van de klant. Met de SaldoCheck kan de klant het banksaldo van zijn/haar rekening opvragen. Door het afgeven van deze toegangsgegevens aan derden is de persoonlijke financiële situatie van de klant inzichtelijk. Deze werkwijze gaat in tegen de beveiligingsmaatregelen die de Rabobank heeft genomen om internetbankieren veilig te maken en te houden. In onze Voorwaarden Elektronisch Bankieren staat dat de klant onder geen beding zijn persoonlijke toegangsgegevens mag geven aan andere partijen anders dan de Rabobank. Dit om misbruik door derden te voorkomen. Uit veiligheidsoverwegingen en ter bescherming van de klant komt de Rabobank daarom nu met een eigen iPhone applicatie Bankieren. Hiermee kan de klant zijn gegevens invoeren via de beveiligde site van de eigen bank en zijn saldo raadplegen, af- en bijschrijvingen inzien en geld overmaken.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
prima actie! werd vorige week ”spontaan” gebeld na het gebruiken van die APP door iemand die zich wou voordoen als iemand van de bank, wist al me persoonlijke gegevens etc.
nee vertrouwen in zulke apps moet je niet hebben en al helemaal niet als je hem gejailbreakt hebt!
Ik vind dat alle banken gewoon met een alternatief moeten komen.
Apps van derden vertrouw ik sowieso niet.
@Arthur: mee eens
Een mederwerker die de applicatie in naam van rabobank maakt is net zo potentieel gevaarlijk als oJoco. En ik geloof niet dat hij die informatie te zien kan krijgen. Hij maakt gewoon gebruik van technieken die al heel lang gebruikt worden alleen nu in de vorm van een iphone applicatie…
Ik ben het met oJoCo eens dat de rabobank niet te snel moet oordelen, en ook verzoeken moet indienen bij programma’s zoals boven vermeld.
Aanvullend weet ik dat het niet alleen aan de Rabobank ligt. Ik werk ook bij een Nederlandse bank en na het verschijnen van SaldoCheck is er direct een onderzoek gestart door de Nederlandse vereniging van banken de NVB. Alle klanten van Nederlandse banken dienen hun elektronische sleutels strikt persoonlijk te gebruiken en niet in applicaties achter te laten. Als je je bank voorwaarden goed leest, dan zul je bij elke bank dit tegenkomen. Door nu je toegangssleutels in een applicatie achter te laten, gaat een klant onzorgvuldig met deze sleutels om. Misbruik van de sleutels is hiermee veel eenvoudiger geworden. De Rabobank heeft als grootste bank de eerste stap gezet. Zouden zij dit niet gedaan hebben, dan zou de NVB actie hebben ondernomen.
Bansaldo weg waarom…wat een onzin!!!
Met Bankaaldo kan je toch alleen het saldo van je ING rekening opvragen? Daar heeft de Rabobanktoch niks mee te maken !!
En verder logt BankSaldo niet in op de Ing site in maar maakt gebruik van msn buddy.
Beetje raar dus dat deze App ook uit de store is gehaald.
Huh, banksaldo werkt toch alleen met ING? Wat heeft RaboBank daar mee te maken?
Ik denk dat de reactie van QAN eigenlijk alles al zegt…..ongeacht of het nu de Rabo of de ING is.
Wat een onzin! Ik zit zakelijk bij de Rabo en wou privé ook naar de Rabobank maar dit soort onzin zet me wel aan het twijfelen.
@ik
Toevallig dat jij de enige ben, ook maak je jezelf niet echt betrouwbaarder met weer gezeik op jailbreak, er is niks onveiligs aan jailbreaken, behalve als je zo lomp ben je standaard wachtwoord niet te veranderen, dat is hetzelfde als het niet beveiligen van je router waardoor ook (als je een beetje handig ben) veel mee kan doen.
Dan ga je toch lekker naar een bank die zijn hand ophoudt bij de overheid? Ze zullen hier echt wel een goede reden voor hebben: dat ze die niet met ons willen delen, is hun goed recht en je hoeft ook niet alles te begrijpen.
@QAN:
Mijn bank stelt dat ik geen credentials af mag geven aan derden. Dat is heel wat anders dan een login in mijn eigen digitale omgeving in een zelf aangeschafte applicatie onderbrengen.
De NVB loopt achter de feiten aan:
Veel webbrowsers onthouden waarden die je in invoervelden hebt ingetikt. Als ik op mijn bankensite begin met het invullen van de response key krijg ik een hele rij suggesties van de codes die ik in het verleden in dit veld heb ingevuld. Blijkbaar slaat de webbouwser de credentials ergens op.
Verder maken op de desktop veel mensen gebruik van programma’s die logins en wachtwoorden voor je bewaren. Eventueel inclusief inloggen op de site.
Jammer dat de banken geen ruimte gunnen aan een applicatie die informatie van meerdere banken kan tonen. Bijna iedereen heeft rekeningen bij meer dan één bank.
Update! BankSaldo is vanwege technische problemen uit de App Store gehaald. De titel wekte de indruk dat het iets met Rabobank te maken had, maar dat is niet zo.
Wel is ING met een eigen iPhone-applicatie bezig, maar er zijn voorzover ik weet geen aanwijzingen dat dit iets met de verdwijning van BankSaldo te maken heeft.
Van mij mag de Rabobank dan wel met een app komen om te internetbankieren dan.
Wil geen betweter zijn maar..
https://www.iculture.nl/50048/review-saldocheck-bekijk-je-banksaldo-op-de-iphone/
😛
Zou Apple hier geen rol in kunnen spelen aangezien zij de taak hebben om iedere App te controleren voordat het de ApsStore in mag?
Hi,
BankSaldo is inderdaad tijdelijk uit de app store gehaald ivm. een technisch probleem. De software die we gebruiken voor de MSN bot (het stuk software dat praat met de ING buddy) gebruikt MSNP9, versie 9 van het MSN protocol. Microsoft heeft een aantal dagen geleden besloten die versie niet langer te ondersteunen. We zijn nu bezig om de bot software te upgraden naar een nieuwere versie van het MSN protocol. Dit is niet triviaal. Nog even geduld dus 😉
Groeten,
BankSaldo support team
Volgens QAN die de Nederlandse vereniging van banken aanhaalt kan Apple beter snel Mobile Safari aanpassen.
Met behulp van ‘Formulieren’ Â [ zie: iPhone App ‘Instellingen > Safari > Formulieren > Naam/wachtwoord ] en het gebruik van zogenaamde ‘Web Clips’ (in goed Nederlands Webfragment) is het zeer eenvoudig om een eigen Icon op een beginscherm van je iPhone te plaatsen, die bovendien (middels ‘Formulier’ gebruik) automatisch inlogt bij de Rabo site.Â
Apple heeft dus zelf een applicatie waarin je elektrische sleutels achter kunt laten om in te loggen.
Waarom heeft rabobank of andere nederlandse bank nog geen eigen app voor internetbankieren. Banken van andere landen hebben dat wel.
Snap de veiligheidsdiscussie
niet helemaal. De wereld ligt vol met inlogcodes en bankpassen en middelen waarmee je saldi van rekeningen kan checken. Transacties doen is een veligheidsniveau hoger. Daarvoor heb je TANcodes, e.readers en andere versleutelaars nodig. Wat verandert deze app daar nu aan ?
Als Rabo en NVB dit niet willen, hebben ze nog een hoop ander werk te doen!
De Rabobank begint de laatste tijd steeds negatiever in het nieuws te komen. Ze bemoeien zich met dingen die ze niets aangaan en doen zelf dingen die ook niet fris zijn. Zie ook de affaire met de OpMaat hypotheek. Laat die banken zich lekker bezig houden met hun eigen materie en als ze al problemen willen voorkomen laat ze dan zelf een applicatie maken. (en niet alleen voor Windows, zoals voorheen)
Denk ook dat het de Rabobank steekt dat er geld wordt verdient met een service die zij aanbieden.
Zolang jij een wisselende responsekey hebt, zelfs binnen een sessie, dan is er met geen mogelijkheid door een ander een transactie te doen. Tot aan de server van de Rabobank kan de Rabo eigenlijk niets eisen.
Rabobank heeft wel gelijk als het gaat om preventief waarschuwen voor laksheid. We geloven namelijk ook alles wat in de krant staat of op televisie wordt getoond 😉
Als de rabobank dit niet wil.. dan moeten ze zelf een officiele app publishen ipv zo te huilen.
Voer nooit je toegangscodes in op apps of sites van derden. Hoewel het uitgangspunt van SaldoCheck/oJoCo wellicht goed bedoeld is, het lonkt naar manipulatie en een andere partij kan als man-in-the-middle je hele rekening plunderen. Toegangscodes alleen op de site van je bank gebruiken en check de URL en het SSL certificaat.
Het wordt tijd dat banken zelf API’s verstrekken zodat dit soort toepassingen veilig kunnen worden geïmplementeerd.
Update: Reactie van de Rabobank toegevoegd.
Voila, jullie worden op je wenken bediend. Rabobank komt met eigen applicatie, is dat niet mooi! Wel wil ik hierbij opmerken dat iedereen altijd direct van alles vindt, maar met alle respect, wanneer een klant zijn geld kwijt is door fraude omdat het achteraf toch allemaal niet zo veilig bleek te zijn, dan wordt er wel direct naar de bank gewezen! Groot gelijk Rabobank! Alles moet altijd maar kunnen en snel, maar achteraf wordt meestal gezeurd. Opmaathypotheek prima, als je zegt dat de Rabobank daar fouten in heeft gemaakt, maar welke consument accepteerde toendertijd wanneer hij/zij geen hypotheek van 6 x zijn jaarinkomen kreeg. Dan was Leiden toch ook in last? Oftewel achteraf weet iedereen altijd alles, maar moment supreme willen we wel direct een oplossing..
Na een technische storing van ruim drie weken werkt de BankSaldo app weer als vanouds. De app staat ook weer in de app store. Enjoy!
Graag de review aanpassen. Er wordt gesproken over versie 1.2 voor Saldocheck. Immers de andere banken werken(werkten) zoals beschreven is, nog steeds uitstekend. Nadat ik sinds 16 februari niet meer op de ASNBank kan inloggen met Saldocheck door een verandering op de website, heb ik contact gehad met de makers. Zij hebben de applicatie uit de Appstore teruggetrokken, er is geen support meer, mensen kunnen wel hun geld terugkrijgen. Ik heb mijn ongenoegen met deze support voor een betaalde applicatie laten blijken.