AnnikaHeise berichtet auf der eigenen Webseite und im am Montag erscheinenden Magazin über erhebliche Sicherheitslücken in Banking-Apps für das iPhone und iPad.
Eigentlich wissen wir gar nicht so genau, was uns momentan mehr schockiert: Die Tatsache, dass Heise in den beliebtesten Banking-Apps iControl, iOutBanking und S-Banking erhebliche Sicherheitsprobleme gefunden hat, oder, dass iOutBank trotzdem einen TÜV-Siegel bekommen hat.
Wie auch wir leicht feststellen können, verhindern alle drei Applikationen unbefugten Zugriff zunächst durch einen Passwortschutz. Heise hat allerdings herausgefunden, dass iOutBank und iControl beim Start unverschlüsselte Daten im Dateisystem hinterlegen, die erst beim Beenden wieder verschlüsselt werden.
In manchen Fällen sei es sogar vorgekommen, das komplette TAN-Listen, die man allerdings nicht unbedingt in der App speichern sollte, plötzlich zugänglich und beim Synchronisieren durch iTunes sogar unverschlüsselt auf den heimischen Rechner übertragen wurden.
Ein anderes Problem trat in S-Banking auf, hier wurden vertrauliche Daten, die in Richtung Postbank-Server unterwegs waren, auch für andere Teilnehmer im Netzwerk sichtbar.
Immerhin: Tobias Stöger, der fleißige Entwickler von iOutBank, hat bereits reagiert und angekündigt, dass Sicherheitsleck in seiner App so schnell wie möglich zu stopfen.
Es gibt eben Dinge, die man nicht auf dem Handy machen sollte. Und dazu gehört online Banking..
Und Online-Banking auf PC/Mac ist soviel sicherer? Wer’s glaubt.
Hoffentlich repariert
Herr Stöger das dann auch gleich mal in den umgelabelten Apps von Comdirect und Sparda-Banken, das sind ja auch nur iOutbank-Varianten mit anderem Logo!
Tüv geprüft? Schon traurig wo der überall sein aufkleber drauf machen kann ohne überhaupt zu wissen was das ist.
Trotz alledem ein Riesen Lob an den Entwickler von ioutbank. Top App. Und auch ich hab so meine zweifel, ob am heimischen pc alles mit rechten Dingen zu geht.
Wer den Print Artikel gelesen hat, sollte wissen, dass sowohl S-Banking als auch iOutBank schon gefixte Versionen draussen haben. iOutBank mit Version 2.8.2 vom 16.11 und S-Banking mit Version 1.6.3 (iPhone) bzw. 1.5.3 (iPad). Nur iControl hat wohl noch mehr Probleme. Zitat c’t:“iControl enthält soviele Nachlässigkeiten, dass man nur empfehlen kann, einen großen Bogen darum zu machen“ und „Der Entwickler gestand freimütig ein, dass er lediglich Anwendungsprogrammierer, aber kein Sicherheitsexperte sei und iControl nur in seiner Freiteit am Wochenende weiterentwickle. Leider merkt man das auch am Resultat. Wer diesem Programm vertrauliche Daten anvertraut handelt fast schon fahrlässig“.
Übrigens gibt es von allen Apps Branding Versionen: iControl (Donner und Reuschel Banking), star-finanz (BW Mobilbanking) und iOutBank (stehen auf der Website – wobei keine davon TAN-Listen speichern kann).
Drum empfehle ich allen die nur die (reisserischen) Headlines von SPON oder anderen „Expertenblogs“ – die alle nur die Standard Pressemitteilung von heise verkürzt und meistens falsch wiedergeben – lest doch erstmal den Print-Artikel – 3,70 Euro sollte euch die Sicherheit schon wert sein 😉