Online-Banking

Nicht sicher: Banking mit dem iPhone

Die Computerzeitschrift c't hat in der aktuellen Ausgabe 26 die drei beliebtesten Banking-Anwendungen für das iPhone auf den Prüfstand gestellt. Das Ergebnis: Keines der getesteten Programme ist sicher.

Die c't hat die Anwendungen iControl, iOutbanking und S-Banking in zwei Szenarien geprüft: wenn jemand das iPhone findet oder entwendet und wenn der Datenverkehr belauscht wird (z.B im WLAN).

Das iPhone ist kein sicherer Bankschalter
Das iPhone per PIN-Code zu schützen, reicht im ersten Fall nicht, dieser lässt sich durchaus umgehen. Die Sicherheit des eigenen Bankkontos ist also nur gesichert, wenn die Banking-Apps die Daten richtig verschlüsseln.

TAN-Liste unverschlüsselt

Das ist auch grundsätzlich der Fall, dennoch hat die c't bei jeder der Anwendungen mindestens eine Sicherheitslücke gefunden.

iControl verschlüsselt nicht durchgängig, iOutbank legt sogar die TAN-Liste unverschlüsselt auf dem iPhone ab. Per iTunes kommt diese dann auch im Klartext auf den Desktop-Computer.

Überweisungen manipulieren

S-Banking überprüft die Gegenstelle nicht und ermöglicht so einen Man-in-the-Middle-Angriff, bei dem Überweisungen manipuliert werden können.

Die c't hat die Entwickler auf die Schwachstellen hingewiesen. Updates, die diese beseitigen sollen, wurden angekündigt, im Fall von iControl auch schon geliefert. Die c't zeigt sich davon aber nicht überzeugt.

Mehr auf Pocketbrain

•  Mehr über das iPhone auf Pocketbrain
•  Dieser Wurm ist schädlich: iPhoneOS.Ikee.B
•  Online-Banking mit dem iPhone
•  Visa: Handy ersetzt Kreditkarte

Mehr im Internet

• Meldung auf heise online

5. December 2010 | 13:41 Uhr | Peter Giesecke | Trackback

Tags: Online-Banking, Mobile Banking, iPhone, Heise, c't, iControl, iOutbanking, S-Banking, Sicherheitslücke, Verschlüsselung, TAN-Liste