iPhone: Kritische Lücken in Banking-Apps gefunden

Für das Computermagazin c't hat die Redaktion von 'Heise Security' mehrere multibankfähige iPhone-Apps für Online-Banking speziell im Hinblick auf die Sicherheit unter die Lupe genommen und die Ergebnisse nun vorgestellt. Aufmerksam wurde man im Zuge dieses Testverfahrens auf gravierende Schwachstellen in den Anwendungen namens iControl, iOutBanking und S-Banking. Letztlich könnten diese Lücken sogar zur Kompromittierung von Kontodaten oder TANs führen, heißt es.

Auch die Entwickler dieser Anwendungen selbst haben bereits auf diese Umstände reagiert. Ihren Angaben zufolge will man sich näher damit auseinandersetzen und die Probleme in kommenden Versionen aus der Welt schaffen.

Durchgeführt wurden die Tests unter zwei wesentlichen Gesichtspunkten: Was passiert, wenn das iPhone in fremde Hände gerät? Und welche Möglichkeiten ergeben sich für einen Angreifer, wenn er die Kommunikation in einem WLAN-Netzwerk belauscht.

Während bei allen Anwendungen abgesehen von der Code-Sperre, die sich unter Umständen durch einen angepassten Jailbreak umgehen lässt, ein zusätzlicher Passwortschutz zum Einsatz kommt, entschlüsselt die Anwendung namens iControl zahlreiche sensible Informationen schon vor der Eingabe. Die Entwickler haben prompt auf dieses Problem reagiert. Allerdings wurde man wenig später auf eine weitere Lücke in der App aufmerksam, schreibt Heise.

Die beiden Apps namens iControl und iOutBank legen beim Start unverschlüsselte Daten im Dateisystem der Geräte ab. Erst nach dem Beenden werden diese wieder verschlüsselt. Als Problem stellte sich an dieser Stelle heraus, dass dies nicht in allen Fällen einwandfrei klappt. Insofern blieben manche Informationen auch weiterhin im Klartext auf den iPhones gespeichert.

Als Beispiel dafür wurde iOutBank angeführt. TAN-Listen werden bei dieser Anwendung unverschlüsselt auf dem iPhone abgelegt. Über eine Synchronisierung mit iTunes findet die Liste sogar den Weg auf den Computer der Nutzer, heißt es. In einer kommenden Version wollen die Entwickler diese Problematik beheben.

Während solche Schwierigkeiten bei S-Banking nicht festgestellt werden konnten, kommt es hingegen zu Problemen bei der Übertragung von verschlüsselten Daten in Netzwerken. Da die Namen der Gegenstelle nicht geprüft werden, könnte sich beispielsweise ein Angreifer in die Kommunikation einklinken und auf diese Weise Daten auslesen, heißt es.