28. Dezember 2014

Philipp Tusch

Fehlerhaft & unsicher: Schlechtes Zeugnis für Banking-Apps

Auf dem Chaos Communication Congress in Hamburg (31C3) stellen die Forscher den Banking-Applikationen großer Institute ein äußerst mangelhaftes Zeugnis aus. Die zwei französischen Hacker Eric Filiol und Paul Irolla zeigten in ihrer Präsentation (PDF-Dokument), wie fahrlässig die Banken mit den Daten ihrer Nutzer umgehen und welche Gefahren in den mobilen Applikationen lauern. Insgesamt 27 Apps großer Bankenhäuser wurden bislang analysiert, darunter die Commerzbank, Deutsche Bank und die schweizerische UBS. Weitere Analysen sollen in den kommenden Wochen folgen, heißt es.

shutterstock_218268238

Das pauschale Urteil der zwei Redner: Banking-Apps sind zum Teil unsicher und fehlerhaft programmiert. So ließ sich bei der Applikation der amerikanischen Bank JP Morgan eine Hintertür nachweisen, die auch als Einfallstor für Hacker missbraucht werden kann. Zwar lassen die Forscher offen, wofür die Bank diesen Zugang zu den Smartphone-Apps der Nutzer braucht, doch eines ist klar: Gerät der Schlüssel in falsche Hände, so können die Daten sehr schnell missbraucht werden. Auch sonst sind etliche Banking-Apps mit zu vielen Funktionen bestückt, die an der Sicherheit nagen. So wollen nahezu alle getesteten Apps immer wissen, welche Software-Version auf dem Handy läuft und wie die IMEI lautet. Viele Anwendungen weisen auch eine unnötige, weitere Schnittstelle zum Internet auf, um nach automatischen Updates zu suchen. Auch das könnte von Hackern missbraucht werden. Die App der französischen Bank BNP Paribas war sogar für die klassischen Man-in-the-middle-Attacken anfällig. Hierbei liest ein Dritter den Datenverkehr zwischen Bank und Nutzer unbemerkt mit, indem er sich dazwischen schaltet.

Ein großes Problem dabei ist aber auch, dass die Banken stets nur behäbig auf die Warnzeichen der Forscher reagieren. Gegenüber ZEIT Online stellt Filiol in der Zusammenarbeit mit den Einrichtungen fest: "Oft war es schlicht unmöglich überhaupt einen Ansprechpartner bei den Banken zu finden". Da ist es schwer, schnell auf die Sicherheitslücken zu reagieren.

[Bild: Aleksandra Gigowska, Shutterstock]

Weitere Artikel

Surftipp: Die App-Suchmaschine Knicket

Zurückgerudert: Apple stellt „The Interview“ doch auf iTunes bereit

18 Gedanken zu „Fehlerhaft & unsicher: Schlechtes Zeugnis für Banking-Apps“

  1. Über TouchID beschweren sie sich ja auch – dabei kann ich mir niemanden vorstellen, der so einen Aufwand betreiben würde, um an mein iPhone (ja, bei Politikern ist das was anderes) zu kommen. Da ist leichter, beim Passwort eingegeben, über die Schulter zu schauen…
    • Das über TouchID war lächerlich, das hier aber garantiert nicht. Könnt jetzt n kleines M3 Board mit WLAN nehmen und diese Funktionen da drauf implementieren und es einfach unbemerkt irgendwo in einem Flughafen verstecken.
    • Besonders gut ist es dann noch wenn Android Nutzer sich irgendeine gefakte App im Store laden und diese einfach alle Daten ziehen kann. Gott sei dank ist diese Gefahr bei iOS schon mal nicht. ;-)
    • P.S. Meine Bank (Ing-Diba) haftet für fishing. Auch ist die Überweisung die über zwei unabhängige Apps läuft glaube ich relativ sicher. So sicher dass ich nach den Handywechsel große Probleme hatte weil ich das auf den alten hätte frei schalten müsste. :-D
  4. MIM bei Banking Apps :) Also wenn sie gut programmiert sind dann sollte auch das kein Problem darstellen… Aber das wird dann wohl nicht soo sein, wenn es hier erwähnt worden ist…
  6. Überweisungen mach ich mobil gar nicht. Ich nutze Z.B. Finanzblick zur Kontostandsabfrage. Alles andere über Pin und Itan über Kaspersky am PC. Ich glaub dies ist ziemlich sicher.
    • Geht doch zur bank und macht das dort? Man kann alles online machen nur nicht sowas. Mit geld spielt man nicht. Es gibt genug Hacker, und deshalb geh ich immer in die Bank, wenn ich etwas überweisen möchte oder geld ein/auszahlen möchte. Ist doch nicht so schwer..
      • da kommt dann aber ein Problem, wenn du nämlich eine Firma hast, und ständig irgendwelche Rechnungen überweisen musst, hast du einfach keine Zeit um immer zur Bank zu rennen ;)
  7. Online Banking betreibe ich auch nur über die Homepage der Bank ! Wenn es dort zum hacken kommt dann haftet bei mir die Bank dafür. Und über App am Smartphone hole ich mir nur den Finanz Status. Das hat wenig mit Geld spielen zu tun wie ein Vorredner meinte, das ist einfach modernes Zeitalter würde ich sagen
  8. Ich finde es interessant, wie die ganzen Probleme, die mit den iOS oder Mac Geräten zusammenhängen überhaupt nicht erwähnt werden. Die Sicherheitslücken in den Apple Devices sind eine Erwähnung bzw. ein Artikel wert aber werden natürlich nicht hier thematisiert. Warum auch? Niemals würde ein Apple-Fan-Blog schlechte Artikel über Apple verfassen, lieber einen Artikel über schlechte Online-Banking Apps, ausgerechnet jetzt, wo Apple Pay im Umlauf bringt. Immer schön Propaganda. Und später, sollte von Apple Pay in Deutschland berichtet werden, wird dann schön auf diesen Artikel verwiesen und klar gemacht, wie viel besser es doch ist, wenn man Apple Pay benutzen würde. Ich frage mich, ob vor einem es vor einem Jahr einen solchen Artikel gegeben hätte, würden solche Probleme mit Banking Apps zum Vorschein kommen.
    • Apple Pay ist ja nun wirklich nicht als Alternative zum Online Banking zu verstehen, sondern als Alternative zur Barzahlung / EC oder Kreditkarte ! Also die Verschwörungstheorien schön im Schrank lassen….
  9. Na ich denk es wird schon über die ganzen Lücken in iOS berichtet nur ist dann solcher Artikel meistens in Zusammenhang mit einem Jailbreak verbunden. Da wird genau geschrieben welche Lücke die Hacker ausgenutzt haben etc. Wenn ich mir hier die Artikel durchlese dann glaub ich nicht das die Autoren, Admins, whatever die totalen Apple fanboys sind, aber du hast es richtig erkannt… Wieso sollte ein Apple bog nur schlechtes über diese Firma berichten? Und unabhängig von diesem Artikel würde ich ApplePay jetzt schon nutzen, wäre es in Deutschland verfügbar
  10. Herrje, immer dieses Genöle über vermeintlich Sicherheitslücken – schaltet doch mal das Hirn ein. Alles was von Menschen programmiert wird, ist auch durch Menschen aushebelbar. Wer verantwortungsbewusst mit seinen Daten umgeht, hat auch nichts zu befürchten. Mich würde die Summe der finanziellen Verluste von Bankkunden in Gegenüberstellung zu den täglichen Online-Überweisungsvolumina interessieren – die Zahl ist wahrscheinlich so klein, dass sämtliche Banking-Apps als sicher eingestuft werden müssen. Wer deswegen aber der Meinung ist, in der Online-Welt 100% Sicherheit zu genießen, ist naiv – der Manuell-Überweiser, der die Zettelchen nach der Waldorfschule zur Bank bringt, paranoid. Verwendet die technischen Möglichkeiten und seid euch des Nutzens aber auch der Gefahren bewusst. Es ist so einfach und niemand muss sich als der erhobene Zeigefinger in Person profilieren.

Die Kommentare sind geschlossen.