Weitere Schwachstellen in Banking-Apps

Die Sicherheitsfirma viaForensics weist auf ihrer Website nur allgemein auf die Probleme hin und hat die Details-Erklärungen dem Wall Street Journal überlassen. Danach sind Apps der Bank of America, USAA, Chase, Wells Fargo und TD Ameritrade betroffen: Die Android-App von USAA speichert Kopien der Web-Seiten, die ein User besucht hat, auf dem Smartphone. Während die iPhone- und Android-Apps von TD Ameritrade nur den User-Namen im Klartext auf dem Gerät speichert, legt die Android-App von Wells Fargo gleich Anwendername, Passwort und Account-Daten im Klartext ab. Die Android-App der Bank of America speichert Sicherheitsabfragen auf dem Gerät, wenn es dasselbe noch nicht kennt. Die iPhone-App von Chase speichert den Anwendernamen auf dem Gerät, wenn die Option dazu aktiviert wurde.

Dauerhaft gespeicherte Account-Daten auf einem Smartphone sind aus zwei Gründen ein Sicherheitsrisiko: Zum einen kann ein Fremder durch ein gestohlenes oder verlorenes Gerät an Zugangsdaten – in diesem Fall immerhin für ein Bankkonto – gelangen, aber möglicherweise auch über einen gelungenen Hackerangriff. Ob der gelingt, liegt ja weniger in der Verantwortung der Banking-App als im jeweiligen Android-Smartphone, deren Betriebssystem längst nicht immer auf dem neuesten Stand ist.

viaForensics hatte alle genannten Geldinstitute über die entdeckten Schwachstellen informiert und alle haben die Löcher entweder bereits mit Updates gestopft oder werden das umgehend tun. (gr)