Seite 3: iOutBank

Inhaltsverzeichnis

iOutBank

Professioneller in Sachen Sicherheit geht es bei iOutBank zu. Der Hersteller Stoeger IT wirbt mit einem Prüfsiegel des TÜV Süd, das bestätigen soll, dass die App „erfolgreich auf Funktion, Datenschutz und Datensicherheit getestet und zertifiziert“ wurde. Das muss doch sicher sein, oder?

Auch hier zunächst ein guter Eindruck: Das schlampige Testpasswort brandmarkte iOutBank als „unsicher“ und vor dem Speichern der PIN oder TANs gab es einen Warnhinweis, dass Banken das im Allgemeinen nicht gestatten. Die Netzwerkkommunikation erfolgte verschlüsselt und falsche Zertifikate führten zu einer Fehlermeldung. Leider war deren Text wenig aufschlussreich und suggerierte eher ein Verbindungsproblem als einen Angriff mit ungültigen Zertifikaten.

Auch bei iOutBank tauchte eine Klartext-Datenbank im Dateisystem auf – allerdings erst nach der Passworteingabe. Trotzdem bleibt es riskant, die unverschlüsselten Daten ins Dateisystem zu schreiben. Denn es hängt dann stark von den Implementierungsdetails von App, Betriebssystem und Dateissystem ab, ob nach dem Überschreiben respektive Löschen etwa im ungenutzten Speicher noch Reste erhalten bleiben. Und was passiert, wenn die App beispielsweise abstürzt und nicht mehr dazu kommt, die Verschlüsselungsfunktion aufzurufen?

Dass diese Gefahr trotz TÜV-Süd-Siegel durchaus real ist, demonstrierte der Hersteller selbst. Zugunsten der Bequemlichkeit beim Online-Banking kann der Anwender TANs erfassen oder importieren. Unter einer solchen Liste prangt dann ein prominenter Button für den Export. Dessen Betätigung führt dazu, dass iOutBank die Daten in eine Datei schreibt – verschlüsselt wie die App versichert.

Der Kontrollblick des argwöhnischen Testers verriet jedoch, dass die Daten im Klartext vorlagen, auch wenn die App nicht mehr aktiv war. Schlimmer noch: Sie wanderten auch mit dem nächsten Sync via iTunes auf den Mac- oder Windows-Rechner. Da das iTunes-Backup standardmäßig unverschlüsselt erfolgt, liegt dann auch auf dem PC eine komplette TAN-Liste im Klartext zur Abholung durch den nächsten Online-Banking-Trojaner bereit.

Die Ursache des Debakels: Die Verschlüsselung von Dokumenten erfolgte analog zur Datenbank über eine beim Beenden der App aufgerufene Funktion. Seit iOS 4 beendet der Klick auf den Home-Button eine Anwendung aber nicht mehr und der Hersteller hatte die App nicht vollständig umgestellt. Das holte er erst nach unserer Benachrichtigung mit Version 2.8.2 nach. Wer iOutBank mit iOS 4 einsetzt, sollte dieses mittlerweile im AppStore erhältliche Update möglichst schnell installieren, starten und danach ein Backup seines iPhones durchführen, um eventuell vorhandene Klartext-Dokumente zu verschlüsseln.

[Nachtrag: Nach Fertigstellung des Print-Artikels teilte uns der Hersteller noch mit, dass eine zukünftige Version keine Klartext-Dateien mehr anlegen soll.]