Don't Miss

Test: Online-Banking App mit Sicherheitslücken

By on 6. Dezember 2010

Für die aktuelle Ausgabe der Computerzeitschrift c´t wurden spezielle Online-Banking Apps getestet. Das Ergebnis ist allerdings weniger positiv, da die Apps viele Sicherheitslücken aufweisen.

Getestet wurden die beliebtesten iPhone-Apps fürs Online-Banking in Bezug auf ihre Sicherheit. iOutBank, iControl und S-Banking haben dabei gravierende Probleme in der Sicherheit aufgezeigt.

Online-Banking Apps mit Sicherheitslücken – Was passiert bei Missbrauch?

Die Apps wurden in zwei bestimmten Situationen getestet. Erstens: Was geschieht, wenn Fremde das iPhone in die Finger bekommen? Zweitens: Was kann mit aus dem WLAN abgefangenen Daten geschehen? Im Falle des Verlust des iPhone kann ein Passcode keinen ausreichenden Schutz bieten, da dieser über einen speziell angepassten Jailbreak entfernt werden kann und der Angreifer dann auf alle Daten zugreifen kann.

Aus diesem Grund verlangen sämtliche Apps ein weiteres Passwort. Aber iControl entschüsselt sämtliche Daten wie Kontoinformationen und gespeicherte Überweisungsdaten bereits vor der Eingabe des Passwortes.

Datenverschlüsselung

Die Apps iOutBank und iControl legen unverschlüsselte Daten beim Start im Dateisystem ab, die nach dem Beenden verschlüsselt werden sollten. Allerdings hat dies bei den beiden Apps nicht immer funktioniert und wichtige Daten wurden im Klartext auf dem Gerät gespeichert. iOutBank exportierte sogar unverschlüsselte TAN-Listen, die dann beim nächsten Synchronisierungsvorgang im Klartext auf den PC übertragen wurden, wo sie wiederum von speziellen Trojanern abgegriffen werden können.
Mittlerweile wollen die Hersteller die Online-Banking Apps ändern, sodass keine Daten in Klartext im Dateisystem abgelegt werden können.

Weitere Makel

Das App S-Banking liefert zwar keine Daten im Klartext, weist aber Sicherheitslücken bei der Verschlüsselung der zu übertragenden Daten auf. Im Test zeigte sich, dass der Name des Empfängers nicht überprüft wurde und dass die Daten somit direkt an Angreifer übertragen wurden, obwohl diese zum Server der Postbank geschickt werden sollten.