Ankündigung

Einklappen
Keine Ankündigung bisher.

Ankündigung

Einklappen
Keine Ankündigung bisher.

Gravierende Sicherheitslücken in iPhone-Banking-Apps

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #1

    Gravierende Sicherheitslücken in iPhone-Banking-Apps

    Grade auf Apfelnews gefunden. Und die haben es von Heise...

    Für die aktuelle Ausgabe des Computermagazins c't hat heise Security die beliebtesten multibankfähigen iPhone-Apps für Online-Banking speziell auf Sicherheit getestet: In iControl, iOutBanking und S-Banking fanden sich dabei gravierende Sicherheitsprobleme, die letztlich zur Kompromittierung von Kontodaten und sogar TANs führen können. Die Hersteller haben die Sicherheitslücken bestätigt und wollen sie mit aktualisierten Versionen beheben.
    Was haltet ihr davon? Ist das Panikmache oder sollte man doch keine Banking Apps nutzen für Überweisungen? Ich muss sagen ich bin ein bisschen schockiert, da ich bis jetzt das iOS und das Überweisen von Geldbeträgen mit den Banking Apps die darauf laufen, als noch viel sicherer als auf dem Mac unter OSX via Safari eingestuft hatte.
    Stichworte: -
    #2
    Moin.

    Ich würde mich nur unsicher fühlen wenn ich ein jailbreak laufen hätte wer sollte sich schon die Mühe machen mein iOS auszuhorchen?

    Ich muss aber auch sagen ich Frage über iOutBank nur Kontostände ab und mache alles was TANs braucht weiter am Mac.
    QWallyTy
    Mac mini 2018 / iPhone 11 / iPad Air 4 / AW 6 LTE Nike / diverse Sonüsse

    Kommentar

      #3
      Erst mal abwarten,

      heise hat schon oft "gravierende" Sicherheitsproblem "gefunden", die sich hinterher als weniger bis unproblematisch herausstellten.

      Warten wir mal ab was die Entwickler sagen.

      Mal ganz davon ab, wie die Sicherheitslücke geartet ist, wird ja nicht verraten. Und wenn sie nur ausgenutzt werden kann, wenn man das Gerät in die Hände bekommt, ist sie eher unwichtig.

      Kommentar

        #4
        Es müsste erstmal jemand die Lücke ausnutzen (können).

        Ich hab keinen Jailbreak - wer genau soll denn da "mitlesen", wenn ich im WLAN oder 3G bin? Also wer soll Zugriff auf die Sicherheitslücke haben?

        Kommentar

          #5
          Ok das beruhigt mich jetzt wieder ein bisschen. Also doch eher Panikmache. Stimmt, das reine Vorhandensein einer Lücke heisst ja noch lang noch nicht, dass sie auch ausgenutzt oder darüber ein Angriff geschaltet wird.

          @QWallyTy
          Ich mache ja auch keine Überweisungen, habe die Postbank App. um den Kontostand mal zu checken und vor allem um zu prüfen wo die nächste Postbank in meiner Nähe ist wenn ich Geld abholen will.

          Kommentar

            #6
            Zitat von Leaxander Beitrag anzeigen
            Warten wir mal ab was die Entwickler sagen.
            Die sagen leider gar nichts, wie man am Update für iOutbank, das ich heute morgen angeboten bekommen habe, gesehen hat. Auch auf iOutbank.de finde ich keine Infos.

            Zitat von Leaxander Beitrag anzeigen
            Mal ganz davon ab, wie die Sicherheitslücke geartet ist, wird ja nicht verraten. Und wenn sie nur ausgenutzt werden kann, wenn man das Gerät in die Hände bekommt, ist sie eher unwichtig.
            c't sagt, dass die Apps die verschlüsselten Datenbanken vor/nach Passwortabfrage entschlüsseln und dann entschlüsselt (!) aufs Filesystem zurückschreiben -- bei einem OS, dessen Entwicklerdoku ausdrücklich dokumentiert, dass eine App jederzeit abgeschossen werden kann. Toll!

            Der zweite schwere Fehler laut c't ist, dass die eine der getesteten Apps die Daten schon vor (!) der Passwortabfrage entschlüsselt. Da frage ich mich doch, wie sie das denn überhaupt tun kann. Offensichtlich ist das Passwort nicht Teil des Schlüssels und der Schlüssel muß wohl irgendwo abgespeichert sein - oder?

            Ganz ehrlich gesagt: so ein A*tritt für die Entwickler war dringend nötig und sollte regelmäßig wiederholt werden.
            Zuletzt geändert von Pablo Nop; 04.12.2010, 11:34. Grund: Tippfehler

            Kommentar

              #7
              Zitat von Thomas78 Beitrag anzeigen
              Es müsste erstmal jemand die Lücke ausnutzen (können).
              Das ist egal. S-Banking ist anfällig für Man-in-the-Middle Attacken. Wenn eine App sich nicht um solch grundlegende Probleme der verschlüsselten Kommunikation kümmert, was soll man dann vom Rest der App halten?

              Kommentar

                #8
                Oh je jetzt bin ich wieder verunsichert

                Kommentar

                  #9
                  Zitat von Leaxander Beitrag anzeigen
                  Mal ganz davon ab, wie die Sicherheitslücke geartet ist, wird ja nicht verraten.
                  Unsinn, das ist alles dokumentiert. Die Hersteller reagieren ja bereits mit Updates.

                  Gruß,
                  Sönke

                  Kommentar

                    #10
                    @Pablo Nop: Bedeutet also man braucht Zugriff auf das Gerät?

                    @mdmtv: Ich gebe zu ich hab den kompletten Artikel auf heise nicht gelesen, nur den Teil im Einganspost. Aber jetzt bin ich ja schlauer!

                    Kommentar

                      #11
                      Zitat von Leaxander Beitrag anzeigen
                      @Pablo Nop: Bedeutet also man braucht Zugriff auf das Gerät?
                      Nein.

                      Gruß,
                      Sönke

                      Kommentar

                        #12
                        Zitat von Pablo Nop Beitrag anzeigen
                        Das ist egal. S-Banking ist anfällig für Man-in-the-Middle Attacken.
                        Also kann man Telekom/Vodafone/Simyo meine Bankdaten mitlesen?

                        Kommentar

                          #13
                          Zitat von mdmtv Beitrag anzeigen
                          Nein.

                          Gruß,
                          Sönke

                          Hmmm... Bei der S-Banking App (Man in the Middle) schon klar. Aber bei den anderen beiden genannten, geht es doch um auf dem Gerät abgelegte, unverschlüsselte Dateien. Wie will man da von aussen ohne Zugriff aufs Gerät dran kommen?

                          Kommentar

                            #14
                            was ich auch etwas seltsam finde dass iOutBank seit Monaten ein TüV Siegel trägt - was haben die denn da beim TüV geprüft wenn so etwas nicht aufgefallen ist?

                            Und am Rande wo wir grad bei ct sind - es gibt eine mehr oder weniger gelungene App mit der man sich auch cttv anschauen kann.
                            QWallyTy
                            Mac mini 2018 / iPhone 11 / iPad Air 4 / AW 6 LTE Nike / diverse Sonüsse

                            Kommentar

                              #15
                              Zitat von Leaxander Beitrag anzeigen
                              Wie will man da von aussen ohne Zugriff aufs Gerät dran kommen?
                              Stell' Dir die Frage bei einem Windows-PC, und Du hast die Antwort.

                              Gruß,
                              Sönke

                              Kommentar

                              Vorherige 1 2 template Weiter

                              Einloggen oder neu registrieren

                              Einklappen
                              Hier kannst Du Dich neu registrieren (klick mich). Falls Du bereits registriert bist, findest Du die Funktion zum Einloggen ganz oben auf der Webseite, noch über dem Logo. Falls Du Dein Passwort vergessen hast und wir es Dir zusenden sollen, klicke hier.
                              Lädt...
                              X