Fehlerhaft & unsicher: Schlechtes Zeugnis für Banking-Apps
Auf dem Chaos Communication Congress in Hamburg (31C3) stellen die Forscher den Banking-Applikationen großer Institute ein äußerst mangelhaftes Zeugnis aus. Die zwei französischen Hacker Eric Filiol und Paul Irolla zeigten in ihrer Präsentation (PDF-Dokument), wie fahrlässig die Banken mit den Daten ihrer Nutzer umgehen und welche Gefahren in den mobilen Applikationen lauern. Insgesamt 27 Apps großer Bankenhäuser wurden bislang analysiert, darunter die Commerzbank, Deutsche Bank und die schweizerische UBS. Weitere Analysen sollen in den kommenden Wochen folgen, heißt es.
Das pauschale Urteil der zwei Redner: Banking-Apps sind zum Teil unsicher und fehlerhaft programmiert. So ließ sich bei der Applikation der amerikanischen Bank JP Morgan eine Hintertür nachweisen, die auch als Einfallstor für Hacker missbraucht werden kann. Zwar lassen die Forscher offen, wofür die Bank diesen Zugang zu den Smartphone-Apps der Nutzer braucht, doch eines ist klar: Gerät der Schlüssel in falsche Hände, so können die Daten sehr schnell missbraucht werden. Auch sonst sind etliche Banking-Apps mit zu vielen Funktionen bestückt, die an der Sicherheit nagen. So wollen nahezu alle getesteten Apps immer wissen, welche Software-Version auf dem Handy läuft und wie die IMEI lautet. Viele Anwendungen weisen auch eine unnötige, weitere Schnittstelle zum Internet auf, um nach automatischen Updates zu suchen. Auch das könnte von Hackern missbraucht werden. Die App der französischen Bank BNP Paribas war sogar für die klassischen Man-in-the-middle-Attacken anfällig. Hierbei liest ein Dritter den Datenverkehr zwischen Bank und Nutzer unbemerkt mit, indem er sich dazwischen schaltet.
Ein großes Problem dabei ist aber auch, dass die Banken stets nur behäbig auf die Warnzeichen der Forscher reagieren. Gegenüber ZEIT Online stellt Filiol in der Zusammenarbeit mit den Einrichtungen fest: "Oft war es schlicht unmöglich überhaupt einen Ansprechpartner bei den Banken zu finden". Da ist es schwer, schnell auf die Sicherheitslücken zu reagieren.
[Bild: Aleksandra Gigowska, Shutterstock]
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.
18 Kommentare zu dem Artikel "Fehlerhaft & unsicher: Schlechtes Zeugnis für Banking-Apps"
-
Think Different! 28. Dezember 2014 um 18:10 Uhr ·Über TouchID beschweren sie sich ja auch – dabei kann ich mir niemanden vorstellen, der so einen Aufwand betreiben würde, um an mein iPhone (ja, bei Politikern ist das was anderes) zu kommen. Da ist leichter, beim Passwort eingegeben, über die Schulter zu schauen…iLike 29
-
Unsigned Integer 28. Dezember 2014 um 19:31 Uhr ·Das über TouchID war lächerlich, das hier aber garantiert nicht. Könnt jetzt n kleines M3 Board mit WLAN nehmen und diese Funktionen da drauf implementieren und es einfach unbemerkt irgendwo in einem Flughafen verstecken.iLike 1
-
Chris DE 28. Dezember 2014 um 19:52 Uhr ·Besonders gut ist es dann noch wenn Android Nutzer sich irgendeine gefakte App im Store laden und diese einfach alle Daten ziehen kann. Gott sei dank ist diese Gefahr bei iOS schon mal nicht. ;-)iLike 11
-
Chris DE 28. Dezember 2014 um 19:54 Uhr ·P.S. Meine Bank (Ing-Diba) haftet für fishing. Auch ist die Überweisung die über zwei unabhängige Apps läuft glaube ich relativ sicher. So sicher dass ich nach den Handywechsel große Probleme hatte weil ich das auf den alten hätte frei schalten müsste. :-DiLike 2
-
-
LukasDasOriginal 28. Dezember 2014 um 18:14 Uhr ·Ich nutze solche Apps deshalb nichtiLike 3
-
Huibooh 28. Dezember 2014 um 18:15 Uhr ·Hab ich was überlesen oder geht nur um ANDROID als Plattform? Also interessiert DEIN IPHONE echt niemanden!iLike 4
-
TomKee 28. Dezember 2014 um 18:16 Uhr ·MIM bei Banking Apps :) Also wenn sie gut programmiert sind dann sollte auch das kein Problem darstellen… Aber das wird dann wohl nicht soo sein, wenn es hier erwähnt worden ist…iLike 1
-
Markenschwein 28. Dezember 2014 um 18:24 Uhr ·kein onlinebanking!!!iLike 5
-
o.wunder 28. Dezember 2014 um 20:34 Uhr ·Steinzeit !iLike 11
-
-
Miki 28. Dezember 2014 um 18:40 Uhr ·Überweisungen mach ich mobil gar nicht. Ich nutze Z.B. Finanzblick zur Kontostandsabfrage. Alles andere über Pin und Itan über Kaspersky am PC. Ich glaub dies ist ziemlich sicher.iLike 4
-
Martin4s 28. Dezember 2014 um 19:46 Uhr ·Geht doch zur bank und macht das dort? Man kann alles online machen nur nicht sowas. Mit geld spielt man nicht. Es gibt genug Hacker, und deshalb geh ich immer in die Bank, wenn ich etwas überweisen möchte oder geld ein/auszahlen möchte. Ist doch nicht so schwer..iLike 6
-
Nick 28. Dezember 2014 um 21:21 Uhr ·Volle Zustimmung! Tut mir Leid, aber wer Bequemlichkeit über Sicherheit stellt, der hat kein Geld verdient.iLike 5
-
FTFT1234 29. Dezember 2014 um 10:43 Uhr ·da kommt dann aber ein Problem, wenn du nämlich eine Firma hast, und ständig irgendwelche Rechnungen überweisen musst, hast du einfach keine Zeit um immer zur Bank zu rennen ;)iLike 3
-
-
-
Chris 28. Dezember 2014 um 20:18 Uhr ·Online Banking betreibe ich auch nur über die Homepage der Bank ! Wenn es dort zum hacken kommt dann haftet bei mir die Bank dafür. Und über App am Smartphone hole ich mir nur den Finanz Status. Das hat wenig mit Geld spielen zu tun wie ein Vorredner meinte, das ist einfach modernes Zeitalter würde ich sageniLike 5
-
Nick 28. Dezember 2014 um 21:32 Uhr ·Ich finde es interessant, wie die ganzen Probleme, die mit den iOS oder Mac Geräten zusammenhängen überhaupt nicht erwähnt werden. Die Sicherheitslücken in den Apple Devices sind eine Erwähnung bzw. ein Artikel wert aber werden natürlich nicht hier thematisiert. Warum auch? Niemals würde ein Apple-Fan-Blog schlechte Artikel über Apple verfassen, lieber einen Artikel über schlechte Online-Banking Apps, ausgerechnet jetzt, wo Apple Pay im Umlauf bringt. Immer schön Propaganda. Und später, sollte von Apple Pay in Deutschland berichtet werden, wird dann schön auf diesen Artikel verwiesen und klar gemacht, wie viel besser es doch ist, wenn man Apple Pay benutzen würde. Ich frage mich, ob vor einem es vor einem Jahr einen solchen Artikel gegeben hätte, würden solche Probleme mit Banking Apps zum Vorschein kommen.iLike 1
-
Dirk 29. Dezember 2014 um 11:12 Uhr ·Apple Pay ist ja nun wirklich nicht als Alternative zum Online Banking zu verstehen, sondern als Alternative zur Barzahlung / EC oder Kreditkarte ! Also die Verschwörungstheorien schön im Schrank lassen….iLike 0
-
-
Chris 28. Dezember 2014 um 22:17 Uhr ·Na ich denk es wird schon über die ganzen Lücken in iOS berichtet nur ist dann solcher Artikel meistens in Zusammenhang mit einem Jailbreak verbunden. Da wird genau geschrieben welche Lücke die Hacker ausgenutzt haben etc. Wenn ich mir hier die Artikel durchlese dann glaub ich nicht das die Autoren, Admins, whatever die totalen Apple fanboys sind, aber du hast es richtig erkannt… Wieso sollte ein Apple bog nur schlechtes über diese Firma berichten? Und unabhängig von diesem Artikel würde ich ApplePay jetzt schon nutzen, wäre es in Deutschland verfügbariLike 2
-
Herbert 29. Dezember 2014 um 01:50 Uhr ·Herrje, immer dieses Genöle über vermeintlich Sicherheitslücken – schaltet doch mal das Hirn ein. Alles was von Menschen programmiert wird, ist auch durch Menschen aushebelbar. Wer verantwortungsbewusst mit seinen Daten umgeht, hat auch nichts zu befürchten. Mich würde die Summe der finanziellen Verluste von Bankkunden in Gegenüberstellung zu den täglichen Online-Überweisungsvolumina interessieren – die Zahl ist wahrscheinlich so klein, dass sämtliche Banking-Apps als sicher eingestuft werden müssen. Wer deswegen aber der Meinung ist, in der Online-Welt 100% Sicherheit zu genießen, ist naiv – der Manuell-Überweiser, der die Zettelchen nach der Waldorfschule zur Bank bringt, paranoid. Verwendet die technischen Möglichkeiten und seid euch des Nutzens aber auch der Gefahren bewusst. Es ist so einfach und niemand muss sich als der erhobene Zeigefinger in Person profilieren.iLike 13