Es gibt kaum einen Bereich, in dem fehlerhafte Apps oder mangelnder Datenschutz so viel Unheil anrichten können wie im mobilen Banking. Man sollte also meinen, Banken tun alles, um Kunden zu schützen und von ihrer Vertrauenswürdigkeit zu überzeugen. Tun sie aber beileibe nicht immer.
Auf dem diesjährigen Chaos Communication Congress in Hamburg (31C3) zeigten gleich zwei Redner, wie fahrlässig Banken mitunter mit Kundendaten umgehen. Die französischen Sicherheitsforscher Eric Filiol und Paul Irolla vom Krypto-Institut der ESIEA (École Supérieure d'Informatique, Électronique, Automatique) zeigten in ihrem Vortrag am Samstagabend die Schwächen von 27 Apps großer Bankenhäuser auf, darunter auch die Deutsche Bank und die Commerzbank.
Die Forscher bauten dafür im Rahmen des DAVFI-Projekts (Defence Anti Virus France International) die Apps der Banken im Labor nach. Dieser Ansatz ist unter Sicherheitsforschern als reverse engineering bekannt. Filiol sagt, für den Nachbau habe man pro App etwa einen halben Tag gebraucht. Anschließend prüften sie, was die Apps alles können. Dabei stellte sich heraus, dass viele Apps vom Funktionsumfang ganz ähnlich wie klassische Malware, also Schadprogramme, ausgestattet waren. Die Ergebnisse waren in zweierlei Hinsicht bedenklich.
Die Apps erheben zu viele Daten und sind zum Teil unsicher
Zum einen können fast alle Banking-Apps mehr als sie eigentlich müssten: So laden 96 Prozent aller getesteten Banking-Apps Daten aus dem Internet aufs Handy. In den meisten Fällen werden das Daten für Updates sein. Es ist laut Filiol jedoch genauso gut ein Einfallstor für manipulierte Daten. Mehr als die Hälfte der Apps wollten außerdem das Betriebssystem nebst jeweiliger Version sowie die IMEI-Nummer des Handys wissen. Die IMEI ist eine Art Seriennummer des Handys und ermöglicht im Grunde eine eindeutige Identifizierung des Nutzers.
Das alles sind Daten, die eine App nicht unbedingt braucht, um zu funktionieren. Daten, die die Bank sichern muss und die sie im Zweifel nichts angehen. Denn die Identifikation für das Online-Banking läuft in den meisten Fällen über Benutzername und ein Passwort. Viele der Banking-Apps erheben deshalb keine zusätzliche Informationen wie die IMEI-Nummer. Die App der russischen Sberbank scannt darüber hinaus sogar alle Netzwerke in der Umgebung des Nutzers und schickt die Liste auf die Yandex-Server. Auch das ist unnötig.
Banken reagieren behäbig
Einige der Banking-Apps sind aber auch einfach schlecht programmiert. Die App der amerikanischen Bank JP Morgan enthält zum Beispiel den Code einer Backdoor. Durch eine solche Hintertür kann die Bank jederzeit von überall auf der Welt auf das Smartphone des Kunden zugreifen. Wie umfangreich dieser Zugriff ist und für welche Zwecke JP Morgan derart weitgehende Rechte benötigt, ließen die Forscher offen. Gelangt ein derartiger Zugang in die falschen Hände, wäre der Schaden jedoch immens. Dies ist umso besorgniserregender als die Bank erst im Oktober dieses Jahres Opfer eines umfangreichen Hacks wurde. Dabei stahlen die Täter Daten von 83 Millionen Kunden.
Die App der französischen Bank BNP Paribas ist anfällig für Man-in-the-middle-Attacken. Bei diesen Attacken schaltet sich ein Angreifer zwischen zwei kommunizierende Stellen, in dem Fall dem Nutzer und der Bank. Sämtlicher Datenverkehr läuft dann über den Mittelmann, der alles mitlesen kann.
Filiol und Irolla wollen die genauen Ergebnisse in einigen Wochen veröffentlichen. Sie warten noch die Reaktionen einiger Banken ab. Die Zusammenarbeit ist laut Filiol ein Graus: "Oft war es schlicht unmöglich, überhaupt einen Ansprechpartner bei den Banken zu finden", sagt der Forscher im Gespräch mit ZEIT ONLINE. Bei der Hotline der britischen Bank HSBC habe man ihn auf die Homepage von HSBC verwiesen. Dort stand schlicht "Der Service der Bank ist sicher".
Kommentare
Lachnummer
"Filiol sagt, für den Nachbau habe man pro App etwa einen halben Tag gebraucht. Anschließend prüften sie, was die Apps alles können".
Die Banken haben diese Apps im Laufe der Jahre immer weiter entwickelt und sicherer gemacht.
Es ist schon sehr lustig, wenn da ein paar Nerds das alles in einem halben Tag reverse engineeren wollen. Und dann ihr eigenes Gefrickel auf Sicherheitslücken untersuchen.
Das ist so, als wenn ein Schrauber versucht, innerhalb von 1 Tag einen Porsche nachzubauen. Und diesem Möchtegern-Porsche dann einem Crash-Test unterzieht.
Das ganze ist natürlich hanebüchener Unsinn und eine einzige Lachnummer. Dann das einzige, was damit bewiesen wird ist, dass das eigene Grefrickel sehr unsicher ist.
nicht wirklich
Android-Apps zum Beispiel basieren auf Java, was als Scriptsprache sehr einfach zu reverse-engineeren ist (ein Assembler-änhlicher Code ist für jeden sichtbar). Auch läßt sich dort leicht überprüfen, wann der Nachbau von den Grundfunktionen identisch ist.
Die Jungs vom CCC wissen schon, was sie tun. Das sind auch nicht nur "ein paar Nerds", sondern die Elite der deutschen IT-Sicherheitsindustrie.
Falsches Gefühl oder richtiger Eindruck?
Irgendwie lese ich bei vielen Apps (u.a. hier bei Zeit Online), die i.d.R. immer einen Rattenschwanz an Sicherheitsproblemen mitbringen. Da bekomme ich den Eindruck, dass viele Apps oder sogar die Smartphone-Betriebssysteme an sich eher unsicher sind.
Vielleicht kann ja jemand meinen Eindruck hier zurecht rücken...
sie sind unsicher
das Sicherheitskonzept von Android basiert darauf, daß jede App in einer eigenen virtuellen Maschine ausgeführt wird und daher theoretisch vom Rest abgeschottet wird. Nun gab es aber schon Hacks, die diese Begrenzung überwunden haben (wie genau das funktioniert, überschreitet leider meine Kompetenz).
Ferner ist es schlicht zu einfach, Schnüffelprogramme einer App beizulegen. Wenn eine App etwa die Rechte für Mail, Internet und Mediendaten hat, kann sie dank Broadcast-Reciever (selbst dann, wenn die Hauptapp eigentlich nicht mehr läuft) mal eben alle Mails mitlesen, alle privaten Fotos übermitteln und so weiter. Ein Hobbyprogrammierer kriegt so etwas in ein paar Stunden hin.
Also niemals Apps installieren, die Rechte verlangt, die aufgrund der Programmfunktionen eigentlich nicht nötig wären. Darunter fällt etwa Whatsapp, oder Angry Birds (soweit ich gehört habe, hab's nie nachgeprüft) und viele andere.
Insofern am besten allzu private Daten nicht auf dem Smartphone lagern.
Was man machen kann, ist, das Handy zu "rooten" und dann die Apps händisch einzuschränken. Gegen die eingangs erwähnten fortgeschrittenen Hacks hilft das aber auch nicht.
Gleiches gilt übrigens auch für Apple-Geräte, da ist es aber noch deutlich schlimmer.
betrifft es android und Apple
gleichermaßen ?
via ZEIT ONLINE plus App
Daten für Updates
Automatisches Update drehe ich immer ab.
Habe mir einmal als Startseite eine Suchmaschine eingefangen. Das einzige was ich fand, war eben das automatische Update.
Jetzt habe ich solche Probleme nicht mehr.