iPhone-Banking mit gravierenden Lücken

heise Security hat die beliebtesten multibankfähigen iPhone-Apps für Online-Banking auf Sicherheit getestet. Das Ergebnis war erschreckend.

In Pocket speichern vorlesen Druckansicht 176 Kommentare lesen
Lesezeit: 2 Min.

Für die aktuelle Ausgabe des Computermagazins c't hat heise Security die beliebtesten multibankfähigen iPhone-Apps für Online-Banking speziell auf Sicherheit getestet: In iControl, iOutBanking und S-Banking fanden sich dabei gravierende Sicherheitsprobleme, die letztlich zur Kompromittierung von Kontodaten und sogar TANs führen können. Die Hersteller haben die Sicherheitslücken bestätigt und wollen sie mit aktualisierten Versionen beheben.

Lücken im iPhone-Banking (6 Bilder)

iControl

Apps wie iControl beherrschen das komplette Repertoire vom Abruf des Kontostands bis hin zum Einrichten eines Dauerauftrags.

Im Test wurden zwei Angriffsszenarien genauer untersucht: Was passiert, wenn das iPhone in fremde Hände gerät? Und was kann ein Angreifer anstellen, der etwa im WLAN den Netzwerkverkehr des iPhones belauscht? Wenn das iPhone verloren geht, schützt ein eventuell gesetzter Passcode nicht wirklich, denn er lässt sich über einen angepassten Jailbreak entfernen. Damit hat der Angreifer Zugang zu allen Daten auf dem iPhone.

Alle Apps verlangen deshalb zum Schutz ein zusätzliches Passwort. Doch iControl entschlüsselte die komplette Datenbank inklusive Kontoinformationen und abgespeicherten Überweisungsdaten bereits vor dessen Eingabe. Auch nach einem schnellen Fix des Entwicklers fanden sich weitere Datenlecks in der App.

Sowohl iControl als auch iOutBank legen beim Start unverschlüsselte Daten im Dateisystem ab, die dann beim Beenden wieder verschlüsselt werden sollten. Das ging bei beiden Apps in manchen Situationen schief – mit dem Resultat, dass wichtige Daten im Klartext auf dem iPhone gespeichert waren. So legte etwa iOutBank exportierte TAN-Listen unverschlüsselt auf dem iPhone ab. Die wanderten dann beim nächsten Synchronisieren via iTunes auch im Klartext auf den PC, wo sie dann auch ein Banking-Trojaner abgreifen könnte. Der Hersteller von iOutBank hat mittlerweile erklärt, man werde zusätzlich zu den Fixes der akuten Sicherheitsprobleme das Design der App so ändern, dass keine Klartextdaten mehr im Dateisystem abgelegt werden.

So handhabt S-Banking das von vorn herein. Dafür schlampt der mobile, kleine Bruder von Star Money bei der Verschlüsselung der im Netzwerk übertragenen Daten. Im Test überprüfte er den Namen der Gegenstelle nicht und lieferte deshalb einem Man-in-The-Middle-Angreifer alle Daten frei Haus, die eigentlich an einen Postbank-Server geschickt werden sollten.

Letztlich fanden sich in allen drei Apps Sicherheitslücken, die wichtige Daten gefährden. Den gesamten Test finden Sie in Ausgabe 26 des c't magazin, das Samstag bei den Abonnenten ankommt und ab Montag am Kiosk ausliegt. (ju)