iPhone-Banking mit gravierenden Lücken

    Für die aktuelle Ausgabe des Computermagazins c't hat heise Security die beliebtesten multibankfähigen iPhone-Apps für Online-Banking speziell auf Sicherheit getestet: In iControl, iOutBanking und S-Banking fanden sich dabei gravierende Sicherheitsprobleme, die letztlich zur Kompromittierung von Kontodaten und sogar TANs führen können. Die Hersteller haben die Sicherheitslücken bestätigt und wollen sie mit aktualisierten Versionen beheben.



    Im Test wurden zwei Angriffsszenarien genauer untersucht: Was passiert, wenn das iPhone in fremde Hände gerät? Und was kann ein Angreifer anstellen, der etwa im WLAN den Netzwerkverkehr des iPhones belauscht? Wenn das iPhone verloren geht, schützt ein eventuell gesetzter Passcode nicht wirklich, denn er lässt sich über einen angepassten Jailbreak entfernen. Damit hat der Angreifer Zugang zu allen Daten auf dem iPhone.


    Alle Apps verlangen deshalb zum Schutz ein zusätzliches Passwort. Doch iControl entschlüsselte die komplette Datenbank inklusive Kontoinformationen und abgespeicherten Überweisungsdaten bereits vor dessen Eingabe. Auch nach einem schnellen Fix des Entwicklers fanden sich weitere Datenlecks in der App.


    Sowohl iControl als auch iOutBank legen beim Start unverschlüsselte Daten im Dateisystem ab, die dann beim Beenden wieder verschlüsselt werden sollten. Das ging bei beiden Apps in manchen Situationen schief – mit dem Resultat, dass wichtige Daten im Klartext auf dem iPhone gespeichert waren. So legte etwa iOutBank exportierte TAN-Listen unverschlüsselt auf dem iPhone ab. Die wanderten dann beim nächsten Synchronisieren via iTunes auch im Klartext auf den PC, wo sie dann auch ein Banking-Trojaner abgreifen könnte. Der Hersteller von iOutBank hat mittlerweile erklärt, man werde zusätzlich zu den Fixes der akuten Sicherheitsprobleme das Design der App so ändern, dass keine Klartextdaten mehr im Dateisystem abgelegt werden.


    So handhabt S-Banking das von vorn herein. Dafür schlampt der mobile, kleine Bruder von Star Money bei der Verschlüsselung der im Netzwerk übertragenen Daten. Im Test überprüfte er den Namen der Gegenstelle nicht und lieferte deshalb einem Man-in-The-Middle-Angreifer alle Daten frei Haus, die eigentlich an einen Postbank-Server geschickt werden sollten.


    Letztlich fanden sich in allen drei Apps Sicherheitslücken, die wichtige Daten gefährden. Den gesamten Test finden Sie in Ausgabe 26 des c't magazin, das Samstag bei den Abonnenten ankommt und ab Montag am Kiosk ausliegt. (ju)


    Quelle Heise.de

    o2o 40,- € Airbag Aktionstarif + IPM(50%) im iPhone 3GS 32GB
    o2o Festnetz auf Multicard mit 3 Simkarten
    E180-Surfstick + Tchibo IP + EeePC-901 mit Runcore 128GB SSD
    Asus Eee PC 1201N (Intel Atom Dualcore N330 1.6GHz, 3GB RAM, 320GB HDD, ION, Win 7 HP) rot

    Oha das liest sich aber nicht schön.Ich bin Postbank Kunde und nutze die Postbank App.Bei einer Überweisung muß ich immer meine Tan von "Hand" eingeben.Ist das jetzt sicherer oder habe ich da was missverstanden?
    Gruß harrys33

    ?I Pad Air Silver White 4G?
    ?ATV4 32GB?
    ?iPhone X 64GB with2?
    ?Mac Book Air 13?
    ?AppleWatch Series 3 Nike Edition LTE VF?

    Hmm, etwas seltsam, zumal:

    Zitat

    ...der TÜV SÜD die aktuelle Version von iOutBank erfolgreich auf Funktion, Datenschutz und Datensicherheit getestet und zertifiziert...


    Quelle: http://www.ioutbank.de/


    Kann mir nicht vorstellen, dass die Prüfer beim Audit die Normen plötzlich vergessen haben :rolleyes:

    Am 03. Dezember gab es ein Update für iOutbank nachdem am 02. Dezember nachmittags die Meldung über Sicherheitsprobleme von dieser Applikation durch die Medien ging.


    Hoffentlich wurden durch dieses Update die Schlupflöcher gestopft.


    Da das iOutbank-Forum ja leider inzwischen von dem Betreiber geschlossen wurde, gibt es keine Infos mehr über Probleme und Problemlösungen, schade.

    mhh naja mir wäre es schon vom gesunden Menschenverstand her zu unsicher auf dem Iphone eine banking software laufen zu lassen, gerade wenn man auch andere Thridapps hat man weiß ja
    nie wie stasihaft diese vorgehen. Denke es gibt Sachen oder Apps die sollte man einfach auf dem Home PC laufen lassen wo man hinter einer vernünftigen Firewall und ner Sicherheitssoftware sein banking tätigt.

    so ein schmarrn, sicherheitslücken in bankingtools werden auch immer wieder in desktopanwendungen gefunden... und was meinst du mit einer "vernünftigen firewall"? hoffentlich nicht so schmarrn wie zonealarm ect...


    man muss halt seine software aktuell halten, und allgemein ein wenig sorgsam mit seinen bankdaten umgehen...

    Zudem ist das abspeichern von TAN-Listen bei jeder Bank untersagt (S-Banking lässt das nichtmal zu). Ob der Anbieter der Software diese nun unverschlüsselt ablegt oder nicht - grob fahrlässig vom Nutzer , nicht vom Anbieter der Software.

    Ich nutze Banking nicht in fremden WLAN Netzen (eigentlich buche ich mich da auch gar nicht ein :> ) und mein iPhone fällt nicht in fremde Hände, und wenn wider Erwarten doch, wirds per MobileMe ferngelöscht. Und TANs speichere ich dort auch nicht. Also von daher wird da wieder unbegründet Panik gemacht :>

    Hier stand eine Signatur.

    Zu S-Banking kann ich sagen, dass die Sicherheitslücke mit dem letzten Update innerhald von 24 Stunden behoben wurde, nachdem die c't das Problem bei StarFinanz gemeldet hat und noch BEVOR die c't überhaupt erscheint/erschienen ist!


    Davon steht in dem Artikel aber nichts, großartiger Journalismus! :flop:

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden