Seite 2: iControl

Inhaltsverzeichnis

iControl

Die erste App im Test wirbt gleich mit 256-Bit-AES-Verschlüsselung und allen relevanten Buzz-Words des Online-Bankings: HBCI+, FinTS und m/Smart/ Chip-TAN. Auf der Homepage prangen Empfehlungen und Auszeichnungen aus diversen Tests. Der erste Eindruck ist auch durchaus vertrauenerweckend. So fragt iControl bereits beim Einrichten ein Passwort ab, das zukünftig bei jedem Start einzugeben ist.

Beim Versuch, auf ein Postbank-Konto zuzugreifen, erhielten wir wiederholt Fehlermeldungen; eventuell ist es mit der Multibank-Fähigkeit doch nicht ganz so gut bestellt. Das Konto bei der Netbank bereitete jedoch keine Probleme. Alle Versuche, den Netzwerkverkehr zu belauschen, scheiterten. Der Datenaustausch erfolgte verschlüsselt und unsere Versuche, uns mit gefälschten Zertifikaten als Man-in-the-Middle zu platzieren, quittierte die App mit einem Verbindungsabbruch.

Im Dateisystem des iPhone fand sich die Datei Documents/.db/ MyFinanceCrypt.sqlitedb. Wie der Name es bereits andeutet, war sie verschlüsselt; eine Analyse zeigte keinerlei Struktur oder andere Auffälligkeiten. Das änderte sich allerdings, als wir iControl starteten. Da tauchte dann aus heiterem Himmel im gleichen Verzeichnis eine Datei namens MyFinance.sqlitedb auf – noch bevor wir das Passwort eingegeben hatten, wohlgemerkt.

Ein schneller Check zeigte, dass es sich tatsächlich um die zentrale Datenbank der App handelte, die diese in Erwartung des Passworts schon mal für uns entschlüsselt hatte. In ihr fanden sich unter anderem die gespeicherten Konto- und Überweisungsdaten. Der Entwickler Truong Hoang lieferte recht flott einen Fix, der die Datenbank erst nach der Passwort-Eingabe freigibt.

Doch auch die neue Version 2.3.7 hatte Schwächen. So stürzte die App nach dem Ändern des Passworts regelmäßig ab und ließ dann wieder eine unverschlüsselte Datenbank zurück. Die in der Datenbank abgelegten PINs und TANs sind zwar zusätzlich verschlüsselt, aber nur mit einem statischen String plus drei Zeichen aus der Geräte-ID. Das bringt wenig zusätzliche Sicherheit, da man die konkreten Details mit ein wenig Reverse Engeneering aus der App extrahieren kann.

Der Entwickler gestand freimütig ein, dass er lediglich Anwendungsprogrammierer, aber kein Sicherheitsexperte sei und iControl nur in seiner Freizeit am Wochenende weiterentwickle. Leider merkt man das auch am Resultat. Wer diesem Programm vertrauliche Daten anvertraut, handelt fast schon fahrlässig.