Outbank 2 mit Passwort-Leck

Die Mac-Version der neuen Banking-Software legt das Programmkennwort in einer Standard-Logdatei ab – unverschlüsselt. Ein Update steht noch aus.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Lesezeit: 1 Min.

Die erst in dieser Woche veröffentlichte Mac-Version der Online-Banking-Software Outbank 2 weist ein problematisches Passwort-Leck auf. Wie der Fotograf Chris Marquardt auf Twitter und in seinem Blog schreibt, wird das Anwendungskennwort in die Standard-Logdatei "system.log" geschrieben – im Klartext. Diese ist über die Console-App, zu finden im Werkzeuge-Verzeichnis, auch anderen Nutzern des Mac ohne Umwege zugänglich.

Meldung auf Twitter.

Outbank-Hersteller stoeger it aus Dachau hat die Lücke mittlerweile per Twitter bestätigt: "Darf nicht passieren – ist leider passiert." Man werde den Fehler im nächsten Update beheben. In einem mittlerweile veröffentlichten Advisory erklärt das Unternehmen, im Rahmen der Entwicklung der App seien zu Analysezwecken diverse Informationen in die Datei "system.log" geschrieben worden. Diese Funktion sei eigentlich nur für die Beta-Versionen aktiviert. "Durch einen Fehler bei der Erstellung der finalen Programmversion (...) gelang dieses Update (...) in den Mac App Store."

Stoeger it veröffentlichte außerdem einen Kommandozeilenbefehl, mit dem sich "system.log" vom Passwort bereinigen lässt. Dazu muss das Mac OS X-Terminal aufgerufen werden. Der Befehl muss allerdings nach jedem Programmstart von Outbank 2 ausgeführt werden. Erst mit einem Update wird dies nicht mehr notwendig sein. (bsc)