Immer wieder veröffentlichen die Medien Nachrichten über Sicherheitslücken in Apps. Das ist bei vielen Anwendungen sehr gefährlich, weil private Daten ausgespäht und gestohlen werden können. Auch wenn viele Nutzer die Sicherheit Ihrer Apps nur halbherzig prüfen, kann das im Einzelfall nicht nur ärgerlich sein.
Welche Tragweite solche Bugs erreichen, hat ein indischer Sicherheitsexperte mehr oder weniger zufällig entdeckt. Über die iOS-App seiner Bank hätte er deren komplettes kundenübergreifendes Guthaben auf ein anderes Konto transferieren können. Satte 25 Milliarden Dollar wären dadurch verschwunden.
Bank-App gehackt: Exploit per Sicherheitszertifikat-Test
Es war überraschend einfach. Nachdem der Experte bemerkte, dass die Session-ID des Nutzers auf der Bankseite nicht sicher zu sein schien, installierte er einen Burp-Proxy. Dieser fungiert als „man in the middle“. Das heißt, während der Nutzer eine per Sicherheitszertifikat geschützte Webseite aufruft, versucht sich der Proxy zwischen App und Webseite zu schalten. Normalerweise sollte das bei korrekten Sicherheitseinstellungen nicht funktionieren. Denn es handelt sich um einen simulierten Angriff. Bei der iOS-App der Bank konnte der Proxy aber alle Informationen mitlesen. Damit sind PIN und TAN nicht mehr geschützt.
Es kommt aber noch schlimmer. Kontoinformationen sind zwischen App und Bankseite im Klartext zu lesen gewesen. Nicht nur das. Über einen einfachen Befehl in der Kommandoleiste war es möglich, Gelder von fremden Konten zu transferieren. Ein erhebliches Sicherheitsloch, mit dem Hacker sämtliche Konten der Bank in kürzester Zeit hätten leerräumen können.
Obwohl der Sicherheitsexperte die Bank vor einem Milliardenverlust schützt und sie auf einen kritische Sicherheitslücke in ihrer App aufmerksam machte, erhielt er nur einen Dankesbrief. Üblich ist in solchen Fällen eine hohe Belohnung.
Finanz-Apps müssen sicher sein
Der Fall zeigt, wie scheinbar sichere Apps enormen Schaden anrichten können. Daher sollten Nutzer immer auf der Hut sein. Auch die eigene Bank-App kann Lücken enthalten. Damit ist das eigene Guthaben gefährdet, wenn in Europa auch theoretisch abgesichert.
Wer Finanz-Apps auf seinem Smartphone oder Tablet nutzt, sollte sein Gerät mit einem Passwort schützen, nur sichere Zugangsdaten wählen, sich möglichst nicht über öffentliche WLAN in das Finanzkonto einwählen und bei der Transaktionsauthentifizierung auf höchste Sicherheit achten. Auch ein Überweisungslimit kann vor einem Schaden schützen. Fehler und Sicherheitslücken machen es ohne weitere Schutzvorrichtungen angreifenden Hackern leicht, ganze Konten leerzuräumen.
Hinterlasse jetzt einen Kommentar