iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 657 Artikel
   

Heise zum iPhone-Banking: Bedingt kritische Sicherheitslücken und gute Werbung für’s Heft

Artikel auf Mastodon teilen.
64 Kommentare 64

Das Computermagazin c’t befasst in seiner aktuellen Ausgabe unter anderem mit drei der am Markt erhältlichen, iPhone-kompatiblen Banking-Lösungen und fragt sich (berechtigt), wie es um die Sicherheit der Online Banking-Applikationen auf dem iPhone bestellt ist. Im Fokus: iOutbank (AppStore-Link), iControl (AppStore-Link) und S-Banking (AppStore-Link).

Das Fazit der c’t: Sicherheitslücken wurden bei allen drei Anwendungen gefunden und die Anbieter haben sich offensichtlich direkt daran gemacht, die gröbsten Schnitzer auszubügeln.

Allerdings scheinen uns die getesteten Angriffs-Szenarien, zumindest teilweise, eher konstruiert denn alltäglich. Aussagen wie „Wenn das iPhone verloren geht, schützt ein eventuell gesetzter Passcode nicht wirklich, denn er lässt sich über einen angepassten Jailbreak entfernen“ ließen sich zum Beispiel durch den Hinweis auf die Möglichkeit zur Fernlöschung relativieren. Zudem erhält ein Angreifer auf diese Weise maximal Informationen über die finanziellen Verhältnisse des Betroffenen, hat jedoch nicht die Möglichkeit, diesen weiter zu schädigen.

Dennoch hat die c’t-Kritik ihre Berechtigung. Auch solche, vermeintlich weniger relevante Schwachstellen gilt es auszumerzen und aufgrund des Artikels dürften die drei Anwendungen wohl in Kürze entsprechende Sicherheits-Updates erhalten.

Fast alle der im AppStore erhältlichen Banking-Applikationen haben wir hier bereits vorgestellt. Wir empfehlen eine kurze Archiv-Suche.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
04. Dez 2010 um 19:02 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    64 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Man sollte beachten das iOutbank z.B. Auch zusätzlich ein Passcode abfragt bevor man zugriff auf die App hat.
    Abgesehen davon ist mir persönlich aktuell kein Weg bekannt den Passcode zu umgehen. Oder wisst ihr da was?

    • Das iPhone wird doch garnicht erst vom PC erkannt bevor der Passcode nicht eingegeben wurde Deswegen ist ja auch kein jailbreak möglich oder täusch ich mich da auch?

    • Die Lösung liegt auf der Hand. Einfach diese Apps nicht benutzen. Ist mir sowieso fraglich wie solchen unternehmen ein solches vertrauen entgegengebracht wird.

      • „solchen Unternehmen?“ du meinst ein Unternehmen das eine Menge Geld damit verdient gute und sichere Software herzustellen, die uns den Alltag erleichtert (hast du dein iPhone nur zum zocken odercwas?) – und dieses Unternehmen soll genau WAS davon haben das Vertrauen ihrer Kunden zu missbrauchen? Wovor hast Du Angst? Das die auf einmal dein Dispo ausreizen und mit den 1000€ in die Karibik fliehen??? LOL

  • Wie kommt ihr auf auf das schmale Brett, das seien konstruierte Situationen ? Wenn iOutBank Pro unverschlüsselte Daten auf dem iPhone ablegt und sogar auf den PC synct, dann ist das in meinen Augen schon reichlich fahrlässig. Bei S-Banking wurde festgestellt, dass die Gegenstelle bei einer Überweisung nicht überprüft wird – grober Schnitzer. Sowas muss man nicht runterspielen. Auch nicht jeder hat einen kostenpflichtigen Mobile Me Account um sein iPhone aus der Ferne zu löschen.

    • Hafenschiffer 

      MobileMe zum iPhone finden und löschen ist seit 4.2.1 kostenlos…

      • Wenn die TAN-Liste nach dem Backup mit iTunes unverschlüsselt auf dem Mac oder PC liegt, reicht es eine Malware auf dem selbigen zu haben. Da nützt Dir auch der MM-Account zum Löschen nichts.
        Wer den Artikel gelesen hat, kann nicht behaupten, dass die Beispiele konstruiert sind. Das obige Zitat bezüglich Jailbreak findet sich im Heft-Artikel übrigens überhaupt nicht. Ich hoffe mal, dass der Verfasser es nur aus urheberrechtlichen Gründen verfälscht hat…

      • wer seine Tan-Listen auf einem Rechner oder Telefon speichert sollte wirklich die Finger von Online – Banking lassen.

      • Ja klar. Aber nur für iPhone 4 Nutzer. Mein 3GS wird nicht mehr zugelassen. :-(

      • MobileMe Fernlöschung ist nur für User mit einem Phone 4 kostenlos. Offensichtlich ohne technischen Grund, denn mit einem Bezahl-Account geht es ja. Danke, Apple! :-(

    • Und was nützen dem Angreifer diese Daten? Um daraus einen funktionierendes Konto zu generieren braucht er mein HCBI Passwort …. und das hat er nicht.
      SMS-Tan und Tanlisten auf dem gleichen Gerät zu empfangen/speichern auf dem die Banking App. läuft UNTERSAGT jede Bank.
      Wenn Du dir einen Mercedes kaufst, dann bei Rot über die Ampel bretterst dann ist die Daimler AG am Folgeschaden schuld? Ich denke nicht …
      Gruß Andi

      • Tolle Logik. Weil immer noch eine Komponente zum Abräumen des Kontos fehlt, macht es nichts, wenn die andere, in diesem Fall die TANs schon bekannt sind. Hörst Du Dir eigentlich selbst mal zu?
        Was das Abspeichern der TANs generell angeht: Ich tu’s nicht, aber wenn man es schon (als verschlüsselt) anbietet, sollte es auch so sein.

  • Weis jemand warum es iControl für das iPad nicht mehr gibt? Ist im Store nicht mehr zu finden. Nur die iPhone Version gibts noch. Hat der Entwickler aufgegeben?

    • Hi die App. Ist seit heute Mittag wieder verfügbar.
      Es gab bei dem letzten Update ein Problem und deshalb hat es der Programmierer aus dem Store genommen.

      Schöne Grüsse

      • Die Stabilität der App ist aber auch nach dem Update noch immer grottig. Da nützt mir der reichhaltige Funktionsumfang nichts…

  • Also wenn man mein Handy hat, kann man mir per SMS-Tan schon ziemlichen Schaden zufügen…

    • Deswegen unterschreibst bzw akzeptierst du bei der Umstellung auf SMS-TANs auch, dass du für die Zusendung der TANs nicht das gleiche Handy verwenden darfst wie für deine Transaktionen. Zumindest ist das bei der Kreissparkasse so.

  • MobileMe ist aber nur für iPhone 4 gratis oder iPad , 2g,3G und 3GS gucken in die Röhre.

  • Der Entwickler von iOutbank hat schon ein update 2.8.4 wegen diesen Problem bei Apple eingereicht.

  • Ich finde, es ist trotzdem noch zu erwähnen, das manche Programme den TAN-Block unverschlüsselt speichern und ein Man-in-the-Middle Angriff laut c’t problemlos möglich war.

  • Bevor Ihr Euch mit der c’t anlegt, solltet Ihr zumindest deren journalistischen und fachlichen Standard erreichen. Und davon ist Eure giftgrüne Newsseite Lichtjahre entfernt …

    • OT: Na ja, Heise war sicherlich mal Top und sind jetzt auch noch recht gut, aber man konnte in den letzten Jahren schon einen deutlichen qualitativen Verfall beobachten. Zumindest habe ich mein ct Abo nach über zehn Jahren letztes Jahr gekündigt. Die Ix beziehe ich allerdings noch. Allerdings frage ich mich da auch schon, wie lange noch. Heise.de steht dennoch ganz oben auf meiner Liste der regelmässig zu besuchenden Seiten. Wollte nur mal anmerken, dass Heise auch nicht mehr das ist, was sie mal waren. Unabhängig von dem aktuellen Artikel, wo ich bisher nur die Internet Version gelesen habe.

      • Das mit dem Abrutschen der Qualität bei Heise kannst du aber laut sagen. Ich bin seit über 15 Jahren Abonnent bei denen i’X und c’t lese aber nur noch jede 3.-4. Ausgabe, denn leider nimmt manches schon Ähnlichkeit zum Computerbildniveau an. Ganz furchtbar sind auch die Internetforen dort, da ist das hier Gold! dagegen. Schade, hat Heise doch meinen Wiedereinstieg in die EDV-Welt komplett begleitet, damals noch mit vielen guten Tipps und Infos :-/

      • Welche (besseren) Alternativen gibt es zu c’t oder iX?

    • wenn du meinst, das pferd gehört dir,
      darfst du es behalten…

      und noch etwas:
      du solltest zuerst deine hausaufgaben erledigen
      und dann schön und brav zur schule gehen..
      erst danach kommentieren!! gelle?

  • Ich bin der Meinung dass die Banken das Onlinebanking so sicher machen müssen, dass selbst im Falle des Verlusts des Device nichts passieren kann. Speichern der TAN Liste sollten sie garnicht anbieten. Sie sollten immer mit dem Schlimmsten rechnen.

    • Die Banken verbieten es explizit! Wenn du’s trotzdem tust, ist das doch deine Sache. Ich mag mich nicht von meiner Bank für Dinge bevormunden lassen, für die ich hafte!

      Und warum muss Onlinebanking eigentlich 100.000x sicherer sein als Papiergeld? Wenn du das verlierst ist die Bank doch auch nicht schuld!

      • Weil du damit Zugang zum gesamten Geld, das sich auf dem Konto befindet, schaffst. Ein kleiner aber feiner Unterschied.

      • Ich denke vielmehr ist der Unterschied dabei, dass,
        die Bedrohung Bedrohung deines Bargeldes, eine körperliche Anwesenheit eines Räubers oder ähnlichem vorraussetzt.
        Er muss also erstmal an dich ran kommen.
        Bei online-Banking ist es so dass jeder.WELTWEIT der Ahnung davon hat und das sind weltweit nunmal ne Menge, Zugang zu allem verschaffen kann was du in Noten besitzt und wenn du Pech hast noch nen bisschen mehr.
        Das schöne dabei ist er muss dafür noch nichtmal das Bett verlassen und da es sowas wie Proxis gibt wirst du oder sonstjemand wahrscheinlich noch nichtmal erfahren wo dieses Bett steht.
        Ist nen sensibles Thema,also nicht auf die leichte Schulter nehmen.

  • Sagt mal, bezahlt euch Apple dafür, dass ihr jedes Problem herunterspielt, aber groß Kritik austeilt?
    Ihr versucht immer wieder, dem User das Denken abzunehmen, das war schon bei der E-Plus Geschichte so…

  • „Zudem erhält ein Angreifer auf diese Weise maximal Informationen über die finanziellen Verhältnisse des Betroffenen, hat jedoch nicht die Möglichkeit, diesen weiter zu schädigen.“

    Diese Aussage ist falsch, wenn es jemanden gelingt das Passwort von einer Bankingapp zu knacken, dann kann er entweder anhand der gespeicherten Tan´s oder mit SMS TAN auch Überweisungen tätigen.

    Wenn das Handy verloren geht, gehört das Konto genau so gesperrt, wie die SIM Karte des Handys. Ein Restrisiko wird immer bleiben.

  • Ohne den Vor-Kommentatoren den Schneid abkaufen zu wollen, aber wenn ich mein Bankkarte verliere, lasse ich das Konto sperren. Gleiches gehört sich natürlich auch, wenn ich mein Telefon verliere. Diesse Szenario hat also jeder selbst zu verantworten. Ich finde diesbezüglich Themen wie „Verschlüsselung“ und „Man-in-the-middle“ relevanter.

  • Kontoinformationen reichen aus um die Person zu schädigen … Und dann sogar noch ein mail Zugang puh

    Da geht einiges informiert euch bevor ihr sollche inkompetenten Aussagen bringt

    • Lieber „Deluxe“,

      die Informationen solltest Du Dir lieber holen, bevor Du hier jemanden als inkompetent beschimpft.
      Wenn mich jemand nur mit meiner Kontoinformation schädigen kann, habe nicht ich das Problem, sondern die Bank bzw. der Händler der diese Kontoinformation ungeprüft verwendet hat. Für mich bedeutet dies nur eine Rückbuchung des nicht von mir autorisierten Betrages.
      Beste Grüße Udo

  • Ich finde das zu einem gewissen Grad Paranoia, weil es unterstellt, eine TAN-Liste aus Papier sei kein Sicherheitsrisiko. Ich habe meine TANs auf dem iPhone, iPad und auch auf all meinen Macs, weil es mir den Komfort wert ist! Genau aus dem selben Grund häng ich auch mein Navi nicht aus der Scheibe, wenn ich das Auto irgendwo abstell. Nur weil eine ominöse Gefahr bestünde, lass ich mir doch nicht das Leben erschweren.

    Wie wurden denn Onlinebanker in den letzten 15 Jahren überwiegend geschädigt? Genau, bisher fast immer durch eigene Blödheit, weil sie TANs per Mail verschickt haben oder sich phishen haben lassen. Aber hat irgendwer bisher von bösartigen Man-in-the-Middle-Attacken gehört? Natürlich gehören entsprechende Fehler in den Programmen behoben, aber die geschilderten Szenaren sind nicht grade die üblichsten.

    Zumal: Wenn ich mit 500 EUR im Geldbeutel rumrenn und mir den klauen lass, dann sind die auch weg! Und ihr glaubt nicht, wie viele Leute 500 EUR auf ein mal abheben, um nur 1x im Monat zur Bank zu müssen!

    Ich finde, jeder sollte seine eigene Risikobereitschaft selbst und ganz bewusst bestimmen. Und da brauch ich dann keine Oberlehrer hier, die alle Leute per se als dumm darstellen, die TANs speichern etc. Ich kann immerhin sagen, schon seit über 15 Jahren Onlinebanking zu machen und im Gegensatz zu manchem Genie ist dabei bisher nie was schief gegangen, weil ich zumindest die Grundregeln menschlicher Skepsis beherrsch. Und die sind oft wertvoller als die trübere Sicherheit, die einem technische Mittel versprechen.

  • Einfach auf Chip-TAN umstellen.
    Dann habt ihr das Problem der TAN Listen nicht mehr.

  • Ich bin Abonnent und hab den Artikel gelesen. Fazit: Sowohl iOutBank als auch S-Banking haben schon Updates draussen. Nur von iControl wird völlig abgeraten. Leider steht dass alles nicht im Online-Artikel.

  • Wer den Print Artikel gelesen hat, sollte wissen, dass sowohl S-Banking als auch iOutBank schon gefixte Versionen draussen haben. iOutBank mit Version 2.8.2 vom 16.11 und S-Banking mit Version 1.6.3 (iPhone) bzw. 1.5.3 (iPad). Nur iControl hat wohl noch mehr Probleme. Zitat c’t:“iControl enthält soviele Nachlässigkeiten, dass man nur empfehlen kann, einen großen Bogen darum zu machen“ und „Der Entwickler gestand freimütig ein, dass er lediglich Anwendungsprogrammierer, aber kein Sicherheitsexperte sei und iControl nur in seiner Freiteit am Wochenende weiterentwickle. Leider merkt man das auch am Resultat. Wer diesem Programm vertrauliche Daten anvertraut handelt fast schon fahrlässig“.

    Übrigens gibt es von allen Apps Branding Versionen: iControl (Donner und Reuschel Banking), star-finanz (BW Mobilbanking) und iOutBank (stehen auf der Website – wobei keine davon TAN-Listen speichern kann).

    Drum empfehle ich allen die nur die (reisserischen) Headlines von SPON oder anderen „Expertenblogs“ – die alle nur die Standard Pressemitteilung von heise verkürzt und meistens falsch wiedergeben – besser den Print-Artikel lesen.

  • So wie mein „Vorschreiber“ Marcus schon richtig anmerkt: Erst einmal den gesamten Artikel der c’t lesen und dann Meinugen abgeben. Wenn ein Artikel in der Onlineausgabe verkürzt wird,ist das bei Tragweite des Sicherheitsproblems der Sache nicht dienlich.

  • Hallo,

    Also ich weiss nicht wieso ihr euch so aufregt . Bei mir muss man 3 Passwörter knacken um ne Überweisung zu tätigen .1 die 4 Stellige Handy pin dann um iOutbank zu öffnen eine 9 Stellige aus zahlen gross/kleinen Buchstaben bestehendes Passwort und dann noch die 5 Stellige Pin vom Konto , ich sag nur viel Spaß du Dieb . Bis der das schafft ist mein Konto gesperrt das iPhone gelöscht und eine Anzeige gegen unbekannt erstattet .
    Obwohl löschen würd ich das Handy nicht , ich würde in Orten und dann die Fresse polieren .

    Gruss
    Stefan

    • Die nur 5-stellige Pin scheint mir die größte Schwachstelle zu sein, wo doch mitlerweile auch bei den Banken angekommen sein sollte, dass so kurze Passworte extrem unsicher sind. Da hilft auch die Kombi aus Buchstaben, Ziffern und Sonderzeichen nicht viel. Nur die Tan relativiert das Risiko.

  • Es wird immer groß rumgeheult. Aber melde sich doch mal bitte jmd dem das Konto schonmal abgeräumt wurde bzw. der überhaupt schonmal gehört hat, dass dieses jmd schonmal passiert ist. TAN Listen Speicherer exklusive. Wie mein Vorredner schon sagte, das will ich erstmal sehen, dass 3 PINs durchbrochen und dann noch die TAN Liste aus meinem Arbeitszimmer geklaut wird.

    • Selbst bei den TAN-Listen-Speicherern kenn ich bislang keinen Schadensfall!

      • Laut Aussage meiner Bank (Berliner Sparkasse) wird es zukünftig keine Tan-Listen mehr geben, sondern nur noch SMS-Tan oder Chip-Tan.

      • Meine Bank hat mir auch erzähl, zukünftig keine Tan-Listen mehr anzubieten, sondern nur noch SMS-Tan oder Chip-Tan.

        Auf mein Argument, dass wenn also jemand mein Handy stiehlt und per Jailbreak an mein Bank Pin kommt, und durch dieses Verfahren er auch noch direkt und komfortabel mit Tans versorgt wird, konnte mir die nette Bankdame auch nicht sagen, was daran sicherer sein soll.

        Also diese SMS TANS finde ich schon sehr bedenklich.

      • Ähm Leute was das denn? Wieso ist SMS Tan bedenklich?

        Verlierst du dein Telefon, lässt du die SIM Karte sperren, bekommst von deinem Anbieter direkt eine Neue Karte. Und fertig. Der Dieb/Finder kann dann nix mehr machen. Weil alle SMS für das Banking auf die neue Simkarte kommen.

        Wo ist das Problem? Dann ändere ich noch meine Bankpin lass mein Konto für eine Woche sperren und holeverstmal Geld vom Konto so ab. Fertig ist das Ganze. Aber mal ehrlich wie oft verliert ihr eure Handys oder wurden euch entwendet? Und wie oft war euer Portemanaie weg? Ok. Danke!

    • Aber jede Woche liest man von jemandem, dem die Brieftasche geklaut und zehn Minuten später das Konto leergeräumt wurde – wieder einer, der mit ’nem Edding seine PIN auf der EC-Karte notiert hatte. Die grösste Sicherheitslücke ist und bleibt die Dämlichkeit der Benutzer.

    • Predig ich schon den ganzen Thread lang! Die technischen Sicherheitslücken sind das kleinere Übel im Gesamtsystem.

  • Die c’t muss sich irren – iOutbank hat doch ein TÜV-Siegel ^^

  • Bekomme die Tan SMS 2 mal zugesendet, Man in the Middel oder haben das ander Kunden von T-Mobil auch beobachtet. SMS kommt 10-15Sekunden noch einmal an.
    Das ist eine weitere Systemlücke, Wer weiß ist SMS Versand Empfang sicher??????????

  • Kritik an iControl warum?
    Software ist erstklassig, wisst Ihr wieviel Fehler Apple auf die App. Programmierer abwälzt, das sollte zuerst geprüft sein.
    Bei I-Contro einfach die Konten Passwörter die Pin nicht speichern> dann muss diese bei IControl nachgefragt werden.

    Aber zuerst muss der Dieb i-Control Öffnen!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38657 Artikel in den vergangenen 6291 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven