iphone-Banking mit gravierenden Lücken

Quelle: Heise

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 03.12.2010 - 15:11 Uhr  ·  #1
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4446
Dabei seit: 11 / 2004
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 03.12.2010 - 16:42 Uhr  ·  #2
Na ja, c't ist schon lange nur mehr billige Boulevardpresse die immer in allem gleich einen Skandal oder eine Katastrophe nahe dem Weltuntergang sieht. Sowas verkauft sich halt besser, und die meisten Leser verstehen es sowieso nicht.

Auch wenn die gefundenen Probleme durchaus ernst zu nehmen sind, so sind die gefundenen Mängel alles andere als gravierend.

Ist natürlich blöd, wenn man sein iPhone verliert. Aber dass der Finder gleich das Teil rooted um an irgendwelche Bankdaten zu kommen ist schon eher unwahrscheinlich.

Das größere Sicherheitsrisiko das wir alle mit uns herumschleppen ist unser Geldbeutel. Skandal: Der Finder hat Zugriff auf ungesichertes Bargeld, Bank- und Kreditkarten. Jeder Geldbeutel sollte bevor man ihn verkaufen darf erst eine gründliche Sicherheitsprüfung durch den Heise-Verlag durchmachen.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Hamburg
Homepage: med-i-bit.de
Beiträge: 27
Dabei seit: 03 / 2004
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 04.12.2010 - 02:18 Uhr  ·  #3
Leider kommt die c't immer erst Samstags, ich kenne also auch nur den Newsticker-Beitrag. Deinem "alles andere als gravierend" würde ich mich so nicht anschliessen. Für Probleme mit Klartextdaten im Filessystem könnte man das evtl. noch so sehen.

Eric
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Boizenburg/Elbe
Beiträge: 13
Dabei seit: 02 / 2005
Betreff:

Subsembly Banking

 · 
Gepostet: 06.12.2010 - 12:58 Uhr  ·  #4
@ Andreas
Hallo Andreas, wie sieht es denn mit Subsemly Banking für Windows Mobile aus? Treten die beschriebenen Mängel dort nicht auf - wenn man den Test auf Deine Software anwenden würde?

Gruß
Christian
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4446
Dabei seit: 11 / 2004
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 06.12.2010 - 15:40 Uhr  ·  #5
Hallo,

ich habe den genauen Test aus der c't noch nicht gelesen, kann aber folgendes Sagen:

1) Alle Daten in der Subsembly Banking "Walletdatei" sind ausnahmslos immer 256-Bit AES verschlüsselt. Dadurch, dass ich keine fremde Datenbank verwende, kann ich mir da auch 100%ig sicher sein.

2) Wird eine TAN-Liste exportiert, dann ist diese natürlich im Klartext. Dafür ist der Export ja da. Mit einem verschlüsselten Export kann keiner was anfangen. Ich glaube aber auch, dass sich derjenige der eine TAN-Liste Export dessen auch bewusst ist, sonst würde er es auch nicht machen.

Wenn ich es richtig verstehe, so gibt es auch in iOutBank keine Probleme, sofern man nicht einen Export der TAN-Liste macht. Deswegen gleich zu raten man sollte generell kein Banking auf dem iPhone mehr machen halte ich für kompletten Schwachsinn. Ein besserer Rat wäre gewesen, dem Leser zu empfehlen in iOutBank vorerst einfach keine TAN-Listen zu exportieren. Aber so ein Rat ist natürlich langweilig und nicht als billiger Horror-Aufmacher der Boulevardpresse geeignet.

3) Die Man-In-The-Middle-Attacke (Im Beispiel S-Banking) wird immer wieder gerne von Theoretikern bemüht. So etwas geht aber immer nur unter Laborbedingungen und ist in der freien Wildbahn meines Wissens noch nie durchgeführt worden. Das Problem ist dabei nämlich, dass man sich dafür erst mal irgendwie in den Übertragungsweg "In-TheMiddle" einklinken muss. Das ginge zum Beipiel indem man einen Internet-Provider "infiltriert" (Vielleicht die Telekom oder gleich den IP-Knoten in Frankfurt?) und auf dessen IP-Routern einen eigene Schadsoftware einspielt. Und dann muss man abwarten und hoffen, dass die gewünschten Daten auch vorbeikommen. Diese könnten ja auch jeden anderen Weg im Internet nehmen. Wer so einen Angriff versuchen will, dem wünsche ich viel Vergnügen. Bei der c't wurde so etwas auch nur unetr Laborbedingungen künstlich nachgestellt indem vermutlich irgendwie vorsetzlich ein Knoten in den Übertragungsweg eingeschleift wurde, z.B. gleich beim W-LAN Router mit dem das iPhone verbunden ist.

Es stellt sich auch immer die Frage wieso sollte jemand diesen utopischen Aufwand treiben? Nur um an die Online-Banking-PIN zu kommen mit der man nichts anfangen kann als die Kontoumsätze abzurufen? Es bleibt natürlich völlig unerwähnt, dass der Angriff hier keinerlei echten Schaden anrichten kann.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Hamburg
Homepage: med-i-bit.de
Beiträge: 27
Dabei seit: 03 / 2004
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 06.12.2010 - 16:00 Uhr  ·  #6
Als Beispiel für die "freie Wildbahn" nennt der Artikel fremde WLANs. Das geht sicher leichter als das das halbe Internet umzurouten: Das "freie" WLAN mit plausibel klingender SSID, vom Laptop in der Tasche unter dem Tisch im nächstbesten Café betrieben, ist jedenfalls nicht völlig utopisch.

Eric
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 06.12.2010 - 17:12 Uhr  ·  #7
auch Router etc. lassen sich hacken und das wurde meines Wissens auch bereits durchgeführt. Solche Angriffe sind leider keine Theorie mehr und die Zertifikatsprüfung ist deshalb schon wichtig.

zum TAN-Export: Ich finde es generell falsch, die TAN-Speicherung überhaupt zu erlauben....

Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 06.12.2010 - 17:49 Uhr  ·  #8
Hallo Zusammen,

sorry, aber ich kann Andreas nur Recht geben! Ja natürlich kann ich über ein manipuliertes WLAN entsprechende Daten abgreifen. Aber hallo, wie groß ist der Aufwand solch ein WLAN zu manipulieren und wieviel Erfolg habe ich da bei den iPhone Nutzern......
Wenn ein Angreifer sich diese Mühe macht, dann hat er es auf eine spezielle Person abgesehen und würde dann auch andere Wege finden. Der Angriff ist in dieser Form für den Massenmarkt untauglich. Und die "bösen Buben" sind Geschäftsleute, die werden sich immer den Weg aussuchen, der mit möglichst wenig Aufwand möglichst hohe Erträge bringt. Und da sind Apps, die kostenpflichtige Mehrwerte aufrufen deutlich simpler und lukrativer!

Das ist so ähnlich wie die Sicherheitslücke in den Chipkarten. Über Röntgengeräte lassen sich theoretisch die Schlüssel auslesen. Und ein Jounalist hat auch vor diesem Angriff gewarnt, sobald die Geräte klein genug sind... Auch Blödsinn, der Aufwand so ein Gerät zu nehmen, unauffällig an die Karte zu kommen, um dann die Schlüssel auszulesen steht in keinem Verhältnis zum zu erwartenden Erfolg.

Hinweise auf solche theoretischen Angriffe sind gut und wichtig und man sollte als Softwarehersteller auch solche potentiellen Schwachstellen schliessen, aber ein Grund zur Hysterie ist das absolut nicht.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4446
Dabei seit: 11 / 2004
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 06.12.2010 - 18:02 Uhr  ·  #9
Danke Holger.

Wie ich im ersten Posting auch schon schrieb. Ich halte es für durchaus wichtig solche Lücken schnellstmöglich zu schließen. Aber bitte keine Panik. Der normale Benutzer kann selbst nicht unterscheiden, wie ernst ein Problem wirklich ist und ob es ihn überhaupt betrifft. All die Panikmache hat dann letztendlich nämlich genau den gegenteiligen Erfolg, nämlich dass der Benutzer einfach gar nicht mehr auf solche Meldungen achtet und die wirklich wichtigen im allgemeinen News-Rauschen untergehen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 07.12.2010 - 10:18 Uhr  ·  #10
na, theoretisch sind Angriffe auf Router ja nicht mehr, immerhin gibt es seit langem Würmer, die es auf die Passwörter der Router abgesehen haben.
http://computer.t-online.de/pc…2450/index

Deshalb ist ja gerade das Prüfen des Zertifikats wichtig und so schreiben es doch auch die meisten Sparkassen in die Sicherheitstipps auf die eigene Homepage. Das ausgerechnet die eigene Anwendung dies nicht richtig macht, ist imho schon etwas peinlich. Betrifft im Test aber nur die S-App.

zu iOutBank:
Was aber im Artikel steht: Die Daten werden zwischenzeitlich unverschlüsselt im Dateisystem abgelegt. Zitat: "Auch bei iOutbank tauchte eine Klartext-Datenbank im Dateisystem auf - allerdings erst nach der Passworteingabe. Trotzdem ist es riskant, die unverschlüsselten Daten ins Dateisystem zu schreiben (....)".
Der Kram mit dem TAN-Export kommt erst später: "(...) Button für den Export. Dessen Betätigung führt dazu, dass iOutBank die Daten in eine Datei schreibt - verschlüsselt, wie die App versichert."

Das sind natürlich alles zur Zeit keine wirklich großen Probleme, aber die Nutzer gehören darüber schon aufgeklärt. Der Artikel macht allerdings auch nicht auf mich den Eindruck, dass er besonders reißerisch ist. Es sind halt Sicherheitsprobleme da und bei einem mobilen Gerät und einer recht neuen Technik schaut man halt genauer hin. Ich halte die Empfehlung, keine Überweisungen mit dem iPhone zu machen, für etwas übertrieben, aber immerhin wird ausdrücklich die Nutzung von TAN-Generatoren empfohlen.

Gruß
Raimund
Pit
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Unterfranken
Beiträge: 51
Dabei seit: 12 / 2010
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 07.12.2010 - 16:11 Uhr  ·  #11
Ich fahre viel durch die Welt und mache so ziemlich alles auf dem iPhone/iPad in den teilweise kuriosesten Hotel WLAN und Coffeeshops. Banking mit chipTAN optisch an beiden Geräten (Sparkassen Kunde). Hatte noch nie ein schlechtes Gefühl. Aber wenn ich mit meiner Kreditkarte im letzen Wildwest Lokal bezahle, habe ich immer Angst. Dann werden die Umsätze immer gleich abgefragt (kann S-Banking auch). Es ist gut über die Sicherheitslücken zu berichten. Besser wäre es aber mal konkrete Fälle zu nennen.

Gruß Peter
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 07.12.2010 - 17:11 Uhr  ·  #12
Hallo Raimund,

es hat niemand gesagt, dass ein Angriff auf einen Router theoretisch ist. Natürlich erfolgt dieser! Nur damit ein Schaden passiert, müsste ich mich mit meinem iPhone (noch theoretischer, da mein SmartPhone schon 4 oder 5 Jahre alt ist und im Vergleich mit den eneun gar nicht smart ist.... aber telefonieren kann man damit....) in einem solchen WLAN anmelden (schon nicht sehr wahrscheinlich) und das WLAN müsste auch darauf ausgelegt sein meine Bankingapplikation auf dem iPhome anzugreifen. Alles in der Theorie machbar. Nur die Praxisrelevanz für die freie Wildbahn ist halt bei weitem nicht so dramatisch, wie das so manche Schlagzeile vormachen möchte.

Peter hat das übrigens auch sehr gut auf den Punkt gebracht!

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 08.12.2010 - 09:28 Uhr  ·  #13
Es ging mir um die Aussage, dass eine Man in the Middle Attacke rein theoretisch ist und der falsche Eindruck entstehen könnte, dazu müsste man die Infrastruktur des Webs beim Provider hacken. Das ist nämlich nicht das primäre Problem.

Meines Erachtens wird das Haupt-Ziel weiterhin das lokale Netz zuhause und in den Unternehmen sein. Der PC wird infiziert, evtl. der Router umgestellt, damit beim nächsten Google-Besuch auch ja ein Virus auf allen Rechnern aktiv ist und wer weiß, wenn es sich lohnt wird auch das angeschlossene Handy und Smartphone in Zukunft nicht unbeachtet gelassen.

Und das ist mir wichtig: Hier ist wieder der Benutzer gefragt, nur er hat die Verantwortung für sein lokales Netz und seine Hardware. Der MiM-Angriff findet vermutlich und auch hoffentlich nicht beim Internetprovider statt, sondern im LAN. Beim Internetprovider kann man ja eh nichts tun und man muss sich drauf verlassen, dass dort nichts böses passiert. Aber das Router-Standardpasswort zu ändern, wäre erste Pflicht bei der Einrichtung des Netzes.

Bei allem anderen bin ich prinzipiell eurer Meinung, auch wenn ich den Artikel halt eben nicht für einen "billigen Horror-Aufmacher der Boulevardpresse" halte. Es gibt doch einige Sicherheitlücken und darüber wird noch einigermaßen nüchtern berichtet. Das ist die Aufgabe der Presse und das ist auch gut so.

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: iphone-Banking mit gravierenden Lücken

 · 
Gepostet: 08.12.2010 - 09:44 Uhr  ·  #14
Gewählte Zitate für Mehrfachzitierung:   0