[Olli]

Keine 24 Stunden nach Erscheinen des OutBank Updates auf Version 2.0 für den Mac, folgt die erste "Schreckensmeldung" - das Passwort der App wird im /var/log/system.log als Klartext abgelegt. Der Blogger Chris Marquardt hat dies mehr oder minder zufällig beim Durchforsten entdeckt. Kurz nach Veröffentlichung seines Blogposts hat sich die Entwickler-Firma Stoeger IT per Twitter zu Wort gemeldet:

Chris Marquardt stellt die richtigen Fragen, denen auch wir nichts hinzufügen können:

"Es bleiben auf meiner Seite einige offenen Fragen: wie schnell kommt das Update? Was passiert mit den bereits in der system.log abgelegten Klartextpasswörtern? Wird das Update von Outbank die system.log "reinigen"? OSX komprimiert und sichert über einen bestimmten Zeitraum automatisch alte Stände der system.log, was passiert mit diesen Sicherungen, bleiben die Klartextpasswörter darin erhalten?"

Muss man sich als Nutzer nun ernsthafte Sorgen machen? Sicher ist, eine Klartext-Ablage im Systemlog ist ein absolutes No-Go. Allerdings bedarf es zum "Missbrauch" von Außen einiges mehr, als nur das Passwort der OutBank App. Bleibt zu hoffen, dass die Entwickler schnell ein vernünftiges Update nachlegen, da solche eklatanten Sicherheitsmängel bei Banking-Apps nichts zu suchen haben.

Update

Mittlerweile haben die Entwickler auf deren Homepage eine Stellungnahme veröffentlicht:

Wie konnte es zu diesem Problem kommen?
Im Rahmen der Entwicklung der App werden für Analysezwecke diverse Informationen in die Datei “system.log” geschrieben. Diese Funktion ist nur für die Beta- bzw. Testversion aktiviert. Durch einen Fehler bei der Erstellung der finalen Programmversion – welche wir leider aus technischen Gründen als Entwickler nicht mehr starten können bzw. dürfen – gelang dieses Update somit in den Mac App Store.

Temporärer Lösungsansatz: Nach jedem Benutzen der App, die entsprechenden Einträge mittels Terminal aus dem Systemlog entfernen

Code:

sudo -i -- 'cd /var/log && grep -vE "OutBank\[" system.log > system.log.clean && mv system.log.clean system.log && if [[ -f system.log.0.bz2 ]]; then for a in system.log.*.bz2; do bunzip2 $a && grep -vE "OutBank\[" ${a%.*} > ${a%.*}.clean && mv ${a%.*}.clean ${a%.*} && bzip2 ${a%.*} ; done; fi; rm -f /var/log/asl/*.asl'

Update 21.01.2013

Heute wurde das Update 2.0.1 im App Store veröffentlicht:

Neue Funktionen von Version 2.0.1
+ iCloud-Anbindung optimiert
+ Anmeldepasswort wird nun nicht mehr in Systemdatei geschrieben
+ Weitere Bugfixes

[Figure.09]

pöhses Faul :o
zum Glück hab ichs mir "noch" nicht geholt

[*Leopard*]

Das ist nicht schön.

[Olli]

Es ist zu dem erschreckend einfach es zu finden

Finder > Gehe zu > /var/log/system.log > Suche: OutBank und da steht es dann.

[*Leopard*]

Jep. Hatte ich auch sofort ausprobiert.

[lerav]

Würde es was bringen Outbank zu deinstallieren, und danach dann von den Konten die Passwörter zu ändern?

Und ist das ein Grund den Kauf über iTunes zu reklamieren, damit man sein Geld wieder bekommt?

[*Leopard*]

Solche drastischen Maßnahmen @lerav sind im Prinzip nur nötig, wenn du die Befürchtung hast, dass dein Rechner ausspioniert wird. Ansonsten kann man einfach auf das Update warten.

[lerav]

Okay danke , bleibt nur zu hoffen das das Update nicht allzu lange bei Apple festhängt. Machen die eigentlich bei Kritischen Updates eine Ausnahme und kontrollieren diese schneller, damit dies zügig released werden können?

[Stricki]

Habe das Update zum Glück noch nicht geladen!

[Olli]

Es gibt ein beschleunigtes Verfahren der Update-Kontrolle - fraglich nur wie schnell die App überhaupt umgeschrieben ist.

[eviltrooper]

welches Passwort ist gemeint?

das Passwort beim starten der APP? oder mein PIN zur BANK?

[*Leopard*]

Dass Passwort, welches man beim Programmstart eingeben muss.

[rockfreak]

Das Passwort der APP. Steht ganz deutlich oben im Artikel. Und wenn ihr keine Angst haben müsst, dass anderer böse Menschen an euren Rechner kommen, kann auch ncihts passieren. Es muss der böse ja wissen, dass ihr iOutbank verwendet und dann auch noch die News verfolgen, dass es leicht ist, das Passwort zu finden etc.
Blöd ist es natürlich trotzdem.

[xxxx]

Das kommt dabei raus, wenn man einen zu frühen Releasetermin hat, die App nicht fertig ist und es dann noch Kritik wegen dem Releasetermin gibt. Dann beeilt man sich, vergisst etwas und will einfach nur das Ding releasen.
Aber Outbank ist meiner Meinung dennoch eine der besten und sichersten Apps.
(Solang man noch nicht auf v2 ist )

[TesTT]

Das ist einfach ein Grund weshalb ich nie Banking Software nutzen wuerde. Warum ein extra Programm, welches halt immer Sicherheitsluecken aufweisen KANN, wenn man einfach das normale online banking im Browser nutzen kann?

[Master 1911]

wegen den Regeln, Kategorien und dem Sync sowie das man sein Konto auch mal auf dem iPhone prüfen kann?

Ach und dein Browser hat ja keine Sicherheitslücken, oder?

[soundclub]

nach der Eingabe des Codes

Code:

sudo -i cd /var/log grep -vE "OutBank\[" system.log > system.log.clean && mv system.log.clean system.log

tritt der Fehler nicht mehr auf, zumindest hab ich nach mehrfachen Neustarts und erneuter Passworteingabe den Fehler nicht mehr feststellen können

Quelle Hersteller

____

ich nehme es zurück ... war doch nur heiße Luft ... hoffentlich ein baldiges Update

[Dirk Hasloewer]

Und wenn ich es richtig lese betrifft es auch "nur" die Desktop App. Nicht die iOS Variante.

[aciid]

Titel des Threads: Sicherheitslücke bei OutBank für Mac OS X

[zimbo74]

und jetzt weiter? klar ist das doof...für überweisungen und co braucht man trotzallem noch die pin für den zugang zur bank....wenn einer auf euren rechner zugreifen kann, dann kann er auch weit aus mehr ausspionieren ....oder?