Sicherheitslücken – Finanz-Apps im Fokus

Sicherheitslücken - Finanz-Apps im Fokus

Immer wieder veröffentlichen die Medien Nachrichten über Sicherheitslücken in Apps. Das ist bei vielen Anwendungen sehr gefährlich, weil private Daten ausgespäht und gestohlen werden können. Auch wenn viele Nutzer die Sicherheit Ihrer Apps nur halbherzig prüfen, kann das im Einzelfall nicht nur ärgerlich sein.

Welche Tragweite solche Bugs erreichen, hat ein indischer Sicherheitsexperte mehr oder weniger zufällig entdeckt. Über die iOS-App seiner Bank hätte er deren komplettes kundenübergreifendes Guthaben auf ein anderes Konto transferieren können. Satte 25 Milliarden Dollar wären dadurch verschwunden.

Bank-App gehackt: Exploit per Sicherheitszertifikat-Test

Es war überraschend einfach. Nachdem der Experte bemerkte, dass die Session-ID des Nutzers auf der Bankseite nicht sicher zu sein schien, installierte er einen Burp-Proxy. Dieser fungiert als „man in the middle“. Das heißt, während der Nutzer eine per Sicherheitszertifikat geschützte Webseite aufruft, versucht sich der Proxy zwischen App und Webseite zu schalten. Normalerweise sollte das bei korrekten Sicherheitseinstellungen nicht funktionieren. Denn es handelt sich um einen simulierten Angriff. Bei der iOS-App der Bank konnte der Proxy aber alle Informationen mitlesen. Damit sind PIN und TAN nicht mehr geschützt.

Es kommt aber noch schlimmer. Kontoinformationen sind zwischen App und Bankseite im Klartext zu lesen gewesen. Nicht nur das. Über einen einfachen Befehl in der Kommandoleiste war es möglich, Gelder von fremden Konten zu transferieren. Ein erhebliches Sicherheitsloch, mit dem Hacker sämtliche Konten der Bank in kürzester Zeit hätten leerräumen können.

Obwohl der Sicherheitsexperte die Bank vor einem Milliardenverlust schützt und sie auf einen kritische Sicherheitslücke in ihrer App aufmerksam machte, erhielt er nur einen Dankesbrief. Üblich ist in solchen Fällen eine hohe Belohnung.

Finanz-Apps müssen sicher sein

Der Fall zeigt, wie scheinbar sichere Apps enormen Schaden anrichten können. Daher sollten Nutzer immer auf der Hut sein. Auch die eigene Bank-App kann Lücken enthalten. Damit ist das eigene Guthaben gefährdet, wenn in Europa auch theoretisch abgesichert.

Wer Finanz-Apps auf seinem Smartphone oder Tablet nutzt, sollte sein Gerät mit einem Passwort schützen, nur sichere Zugangsdaten wählen, sich möglichst nicht über öffentliche WLAN in das Finanzkonto einwählen und bei der Transaktionsauthentifizierung auf höchste Sicherheit achten. Auch ein Überweisungslimit kann vor einem Schaden schützen. Fehler und Sicherheitslücken machen es ohne weitere Schutzvorrichtungen angreifenden Hackern leicht, ganze Konten leerzuräumen.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


4 + fünf =

Die aktuellsten telespiegel Nachrichten
Brexit-Falle – Zusatzkosten beim Einkauf in britischen Onlineshops

Brexit-Falle

Zusatzkosten beim Einkauf in britischen Onlineshops

Aktuell häufen sich die Beschwerden von Verbrauchern, die Ware in britischen Onlineshops bestellt haben. Häufig fallen hohe Zusatzkosten an, da das Land nicht mehr zum EU-Binnenmarkt gehört. Die Händler informieren die Kunden meist jedoch nicht ausreichend über die zusätzlichen Kosten. […]

Zyklus-Apps – Intime Daten häufig ungefragt an Dritte weitergegeben

Zyklus-Apps

Intime Daten häufig ungefragt an Dritte weitergegeben

Millionen Frauen weltweit geben regelmäßig hochsensible Daten in Zyklus-Apps ein. Diese Daten werden jedoch nicht ausreichend geschützt und häufig ungefragt an Dritte weitergegeben. Dies zeigt eine Analyse von Forschern der Newcastle University und der Umeå University. […]

Fake Pop-Up-Fenster – BNetzA schaltet Rufnummern konsequent ab

Fake Pop-Up-Fenster

BNetzA schaltet Rufnummern konsequent ab

Die Bundesnetzagentur warnt vor falschen Pop-Up-Fenster-Fehlermeldungen und schaltet weiterhin konsequent Rufnummern ab, die dort für vermeintliche Hilfe angegeben werden. Hinter den Fake Pop-Ups stecken Betrüger, die Verbraucher zu einem teuren Reparaturauftrag drängen wollen. […]