[Jesusphone]

mycodepack_parse_table('
[cell align=center]
Online-Banking mit dem iPhone ist risikoreich
[row]
[cell]

In der aktuellen Ausgabe der Zeitschrift c't beschäftigt sich das Team von heise-Security mit der Sicherheit von drei populären Apps für das iPhone, die das Online-Banking ermöglichen. Hierfür wurde ein Testszenario aufgebaut, das das Ausspähen und den Diebstahl von Daten ermöglichen soll. Im Test waren die Apps iControl (Truong Hoang), iOutbank (stoeger-IT), und S-Banking (Star Finanz). Alle drei Apps offenbarten Schwächen und eklatante Sicherheitslücken.

Zunächst wurde geprüft, wie und wann die Datenbank einer App verschlüsselt wird und ob sie unter bestimmten Umständen im Klartext vorliegt und ausgelesen werden kann. Hierbei fiel eine der drei Apps glatt durch.

Zwei der Apps lassen das dauerhafte Speichern von PIN und TAN zu, obwohl dieses gemäß der AGB der meisten Geldinstitute nicht zulässig ist. Auch hier gelang es, in den Besitz von vertraulichen Daten zu gelangen.

In einem Fall übersendete die App Überweisungsdaten an einen Server der mit einer sog. „Man-in-the-middle-Attack“ eingeschleift wurde und sich mit einem gültigen Zertifikat unter abweichendem Namen auswies.

Da alle getesteten Apps nicht als sicher gewertet werden können, empfiehlt heise-Security dringend, mit diesen keine Überweisungen auszuführen, bei denen sensible Daten versendet werden müssten. Man solle sich vielmehr auf das Abfragen der Konten beschränken; würde hierbei ein Angriff erfolgreich sein, so gelangt zwar der Kontostand an den Angreifer, nicht aber sensible Daten wie z.B. TANs.

Für den Laien mag das verwendete Testszenario recht exotisch aussehen, jedoch ist zu bedenken, dass z.B. durch einen Jailbreak die meisten von Apples Sicherheitsmechanismen ausgehebelt werden. So ist es ohne weiteres möglich, sich mit einer vermeintlich nützlichen App aus Cydia einen spionierenden Trojaner einzufangen. Zusätzlich sind iPhones, die an öffentlichen (ungeschützten) Hotspots betrieben werden, durch den Jailbreak besonders verwundbar.

Der gesamte Artikel ist nachzulesen in c’t 26/2010 S. 156ff. oder auszugsweise auf heise-Security.

')

[Alex78]

Da frega ich mich doch, was der TÜV da so alles getestet hat, bevor er iOutBank sein Siegel gegeben hat... Anscheinend nicht viel.....

[RaZheL]

Mein Ausbilder ist jetzt total schockiert .... Aber das mit dem TÜV würde mich auch mal intressieren...

[Drchief]

Ja, das verstehe ich nun auch nicht! Wie kann ein App ein Tüvsiegel bekommen, wenn es unsicher ist! Ok, wer PW und Tan´s speichert ist selber Schuld. Ich benutze iOutbank Pro nur zum Konto abfragen und natürlich ohne PW zu speichern.

[sutadur]

Vieles, was man auch aus Bequemlichkeit macht (oder auch nicht macht), birgt eben auch gewisse Risiken. Bei vielen Usern wird z.B. eine App, die es nicht erlaubt, wenigstens das Zugangspasswort zu speichern, schlicht und einfach "unten durch" sein. Und ich kann das durchaus verstehen. Was bei einem Konto kein wirkliches Problem ist, stellt sich bei mehreren Konten recht schnell als Ärgernis und abhängig vom Umfeld auch als arbeitshemmend dar. Und letztlich sind Daten, die man auf dem Handy ablegt, sowie mehr oder weniger unsicher, gegen Verlust und Diebstahl kann man sich auch nicht völlig schützen. Auch andere Daten, die vielleicht auf den ersten Blick entbehrlich sind, können doch bei Verlust Ärger und auch Arbeit bereiten. Und so gesehen kann ein Schaden durch den Diebstahl der Bankdaten, der recht schnell durch ein paar Anrufe vermieden oder zumindest beschränkt werden kann, durchaus die kleinere Sorge sein.

[hebandy]

Ich nutze S-Banking auch nur zur Kontoabfrage meiner Privatkonten bei der Sparkasse und VR-Bank.

Überweisungen und Verwaltungen mache ich immer noch von zu Hause.

Fühle mich durch den Test darin bestätigt.

[lfo]

Ähm, zum Thema TÜV.

Glaub einer wirklich von euch, dass es selbst da noch mit rechten Dingen zu geht?

Der TÜV ist zum Beispiel auch für AKW's in Deutschland zuständig. Hier gibt es Kraftwerke, diese wurden bei den Österreichern abgelehnt als man sie bauen wollte. Begründung, diese waren zu unsicher am Kessel. Diese gleichen AKW's stehen hier in Deutschland, vom TÜV freigegeben.

Jetzt ein bissi Off-Topic, aber ein Beispiel das einem aufzeigt, dass man nicht allem vertrauen sollte, nur weil da ein dämliches Siegel draufklebt.

[Falko]

Ich denke auch nicht das es die Aufgabe des TÜV ist, die Sicherheit auf gejailbreakten Geräten zu bewerten. Bei Geräten ohne Jailbreak ist ja der überwiegende Teil des Szenarios gar nicht machbar.
Das Pin und Tan-Nummern gespeichert werden ist aber ein nicht zu entschuldigendes Manko.

[persil12]

ist denn die sparda bank app sicherer?
die wird ja nicht erwähnt, obwohl sie eigentlich gleich ist

[RaZheL]

Man kann sich so einen Trojaner auch ganz leich woanderst holen, dass muss nicht zwingend von Cydia kommen

[3lli0t]

Ich kenne es zwar nur von iOutBank, aber dort wird man ausdrücklich davor gewarnt die PIN/TAN zu speichern und darauf hingewiesen, dass es von den meisten Banken nicht zugelassen ist. Wer es also tut ist selber Schuld. Wer die PIN zu seiner Bankkarte im Geldbeutel mit sich herumträgt weiß auch um das Risiko. Man kann nicht alles für den DAU konstruieren.

[jonn68]

TANs zu speichern ist natürlich nicht gut, aber wie ist es man eine TAN die immer mit einem Generator zu einer jetzt zu erfolgenden Überweisung erzeugt hat? Ist das genauso unsicher? Das ist doch der empfohlene Standard.

Jonn

[iPhoneFriend]

Ein Grund mehr seit iOS 4 nicht mehr zu jailbreaken. Von dem ganzen Stress und der Warterei mal abgesehn. Ich vermiss den JB in keister Weise!

[DidierDrogba]

Ich würde auch gerne KEINEN Jailbreak draufhaben auf meinem iPhone, aber dann muss ich meinen jetzigen Anbieter wechseln :/

[2holdon]

Ein Grund mehr seit iOS 4 nicht mehr zu jailbreaken. Von dem ganzen Stress und der Warterei mal abgesehn. Ich vermiss den JB in keister Weise!

Na gut. Mach ihn Dir halt nicht drauf.

Hilft Dir dann für das Trojaner-Szenario per Cydia vielleicht (obwohl ich davon ausgehe, dass Du Dir eher einen auf Deinem Rechner zuhause fängst, als bei Cydia. Aber ich mag mich täuschen.

In dem Szenario, wo Du Dein iPhone verlierst oder es Dir verloren wird, macht dann eben der unehrliche Finder den Jailbreak und hat alles was er braucht.

PS: Rein interessehalber: Was hat das mit iOS4 zu tun?

[*Leopard*]

Ist also nicht unsicherer als auf dem heimischen PC. Das beste Antivirenprogramm ist immer noch der eigene Verstand.

[iPhoneFriend]

@2holdon:
Multitasking, Backgroundbilder etc ;-)

[2holdon]

@2holdon:
Multitasking, Backgroundbilder etc ;-)

Ah, OK, jetzt versteh ich das. Ich hatte es so verstanden, dass ab iOS4 Risiken hinzugekommen seien und das hat mich verwundert. Du meintest hingegen, dass seit iOS4 Dinge möglich sind die vorher nur mit JB möglich waren und es daher weniger Gründe für einen JB gibt.

Nun ists klar.

[iPhoneFriend]

Ganz genau so wars gemeint Besser ausgedrückt: Der JB wurde für mich überflüssig!

[Handynaut]

Brauch das S-Online App. nur zum Kontostand abrufen und auch JB hat mich nie interessiert. Dann hoff ich mal das ich dadurch so halbwegs Sicher bin. Wissen kann man es ja nie