Britische Banken reagieren auf heise-Sicherheitstests
Zwei der Banken, denen bei Tests von heisec UK Sicherheitsmängel auf ihren Web-Seiten nachgewiesen wurden, sind tätig geworden. Eine ist allerdings nach wie vor verwundbar.
Mit Nat West und UBS haben zwei britische Banken auf einen Bericht von heisec UK über Lücken auf ihren Web-Seiten reagiert. Dabei scheint es, als habe UBS vorschnell reagiert: Ein kurzer Test zeigt auf, dass die Benutzereingaben weiterhin nicht zuverlässig gefiltert werden. So ist es möglich, HTML-Code in die Seite für den Online-Banking-Zugang einzubringen und den angezeigten Inhalt zu verändern.
Nat West nutzt weiterhin Frames auf seiner Login-Seite für das Online-Banking, aber der Name des anfälligen Frames wurde entfernt, so dass er nicht mehr adressiert werden kann. Dadurch können Hacker nicht mehr ohne weiteres durch Frame Spoofing Inhalte ersetzen. Komplexere Angriffe sind allerdings weiterhin möglich.
Vergangene Woche hatten Tests von heisec UK auf neun Internetauftritten von britischen Banken aufgezeigt, dass nur drei von ihnen immun gegen einfache Angriffe sind, mit denen sich nahezu perfekte Phishing-Seiten aufsetzen ließen. Die betroffenen Banken wurden informiert.
Siehe dazu auch: (anw)
- Banks react to heise Security demo, Originalartikel auf heise Security/UK
