iPhone-Banking mit akuten Sicherheitslücken
Alexander Trust, den 3. Dezember 2010
Drei aktuelle Multibank-iPhone-Banking-Apps sind bei einem Sicherheits-Test negativ aufgefallen, da sie ziemlich unsicher sind. Heise berichtet über iControl, iOutBank und S-Banking. Alle drei Apps würden Sicherheitsrisiken bieten, bis hin zur Möglichkeit, TAN-Listen zu entwenden.
Im Test wurde unter anderem das Szenario überprüft, wenn das iPhone entwendet wird und Diebe Zugriff auf die Hard- und Software haben.
Vor diesem Hintergrund nutzen die Banking-Apps ein weiteres Passwort, um die Daten vor Augen zu schützen, für die sie nicht bestimmt sind. Doch die Banking-App iControl hat bereits vor der Eingabe des Passworts die vorhandenen Daten entschlüsselt, lediglich die GUI zeigte sie nicht an. Auf diesem Weg wäre es für Angreifer möglich, die Daten an dieser Stelle abzugreifen.
Dazu kommt, dass sowohl iControl als auch iOutBank beim Start der App nicht-verschlüsselte Daten im Dateisystem ablegen. Diese Daten sollten nach dem Beenden der App wieder verschlüsselt werden. Stichproben ergaben, dass dies nicht immer funktionierte, weshalb wichtige Daten im Klartext auf dem iPhone gespeichert waren. Bei iOutBank wurden ganze TAN-Listen unverschlüsselt auf dem iPhone abgelegt. Damit allerdings noch nicht genug. Synchronisierte man das Smartphone mit dem Computer, wurden diese unverschlüsselten Daten zusätzlich auf dem PC abgelegt. Dort sind potenziell sie dem Angriff durch Trojaner ausgesetzt.
Wi-Fi
Die App S-Banking legt zwar keine Daten unverschlüsselt auf dem Computer ab, soll laut dem Test jedoch bei der Datenübertragung im W-LAN-Netzwerk schlampen. Falls jemand sich im gleichen Netzwerk befindet, wie der Nutzer der Banking-App, und könnte alle Daten abgreifen, da die Software den Namen der Gegenstelle nicht überprüfte.