Sicherheitslücken – Finanz-Apps im Fokus

Sicherheitslücken - Finanz-Apps im Fokus

Immer wieder veröffentlichen die Medien Nachrichten über Sicherheitslücken in Apps. Das ist bei vielen Anwendungen sehr gefährlich, weil private Daten ausgespäht und gestohlen werden können. Auch wenn viele Nutzer die Sicherheit Ihrer Apps nur halbherzig prüfen, kann das im Einzelfall nicht nur ärgerlich sein.

Welche Tragweite solche Bugs erreichen, hat ein indischer Sicherheitsexperte mehr oder weniger zufällig entdeckt. Über die iOS-App seiner Bank hätte er deren komplettes kundenübergreifendes Guthaben auf ein anderes Konto transferieren können. Satte 25 Milliarden Dollar wären dadurch verschwunden.

Bank-App gehackt: Exploit per Sicherheitszertifikat-Test

Es war überraschend einfach. Nachdem der Experte bemerkte, dass die Session-ID des Nutzers auf der Bankseite nicht sicher zu sein schien, installierte er einen Burp-Proxy. Dieser fungiert als „man in the middle“. Das heißt, während der Nutzer eine per Sicherheitszertifikat geschützte Webseite aufruft, versucht sich der Proxy zwischen App und Webseite zu schalten. Normalerweise sollte das bei korrekten Sicherheitseinstellungen nicht funktionieren. Denn es handelt sich um einen simulierten Angriff. Bei der iOS-App der Bank konnte der Proxy aber alle Informationen mitlesen. Damit sind PIN und TAN nicht mehr geschützt.

Es kommt aber noch schlimmer. Kontoinformationen sind zwischen App und Bankseite im Klartext zu lesen gewesen. Nicht nur das. Über einen einfachen Befehl in der Kommandoleiste war es möglich, Gelder von fremden Konten zu transferieren. Ein erhebliches Sicherheitsloch, mit dem Hacker sämtliche Konten der Bank in kürzester Zeit hätten leerräumen können.

Obwohl der Sicherheitsexperte die Bank vor einem Milliardenverlust schützt und sie auf einen kritische Sicherheitslücke in ihrer App aufmerksam machte, erhielt er nur einen Dankesbrief. Üblich ist in solchen Fällen eine hohe Belohnung.

Finanz-Apps müssen sicher sein

Der Fall zeigt, wie scheinbar sichere Apps enormen Schaden anrichten können. Daher sollten Nutzer immer auf der Hut sein. Auch die eigene Bank-App kann Lücken enthalten. Damit ist das eigene Guthaben gefährdet, wenn in Europa auch theoretisch abgesichert.

Wer Finanz-Apps auf seinem Smartphone oder Tablet nutzt, sollte sein Gerät mit einem Passwort schützen, nur sichere Zugangsdaten wählen, sich möglichst nicht über öffentliche WLAN in das Finanzkonto einwählen und bei der Transaktionsauthentifizierung auf höchste Sicherheit achten. Auch ein Überweisungslimit kann vor einem Schaden schützen. Fehler und Sicherheitslücken machen es ohne weitere Schutzvorrichtungen angreifenden Hackern leicht, ganze Konten leerzuräumen.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Gefährlicher Trojaner „DroidBot“ – Android-User müssen vorsichtig sein

Gefährlicher Trojaner „DroidBot“

Android-User müssen vorsichtig sein

Aktuell warnen Sicherheitsforscher vor einem Trojaner mit dem Namen „DroidBot“, der auf Android-Geräten großen Schaden anrichten kann. Im schlimmsten Fall kann am Ende das gesamte Bankkonto der Android-User leer geräumt sein. Nutzer sollten daher besonders vorsichtig sein. […]

Ü-85-Regelung – Senior wird bei Haustürgeschäft Tarifwechsel verwehrt

Ü-85-Regelung

Senior wird bei Haustürgeschäft Tarifwechsel verwehrt

Bei Haustürgeschäften sollten Verbraucher grundsätzlich vorsichtig sein. Es besteht die Gefahr, zu übereilten Vertragsabschlüssen gedrängt oder sogar auf Kriminelle hereinzufallen. Einem Senior wurde von einem Telekom-Vertreter ein Haustürgeschäft allerdings aufgrund seines Alters verweigert. […]

Nicht mehr erreichbar – die 11833 wurde nach 3 Jahrzehnten abgeschaltet

Nicht mehr erreichbar

Die 11833 wurde nach 3 Jahrzehnten abgeschaltet

Die legendäre 11833-Auskunft der Deutschen Telekom gibt es nicht mehr. Gestern hat das Unternehmen den Dienst nach beinahe 30 Jahren endgültig abgeschaltet. Verbrauchern stehen bei Bedarf aber weiterhin entsprechende Telefonauskunftsdienste von anderen Anbietern zur Verfügung. […]

„Restore Credentials“ – Google macht Smartphone-Wechsel komfortabler

„Restore Credentials“

Google macht Smartphone-Wechsel komfortabler

Google vereinfacht den Wechsel von einem Android-Smartphone zu einem anderen noch weiter. Nutzer können künftig von der sogenannten „Restore Credentials“-Funktion profitieren. Dank dieser werden beispielsweise auch Passwörter für Anwendungen automatisch auf das neue Handy übertragen. […]