{"id":2210,"date":"2014-01-17T11:13:08","date_gmt":"2014-01-17T11:13:08","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=2210"},"modified":"2020-02-26T18:43:37","modified_gmt":"2020-02-26T16:43:37","slug":"banking-apps-fur-ios-sind-lochrig","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/banking-apps-fur-ios-sind-lochrig\/2210\/","title":{"rendered":"Banking-Apps f\u00fcr iOS sind l\u00f6chrig"},"content":{"rendered":"<p>Einige der meistgenutzten Banking-Apps f\u00fcr iOS, die von weltweit bekannten Banken stammen, enthalten Fehler, <a href=\"https:\/\/threatpost.com\/flaws-plague-leading-mobile-banking-apps\/103547\" target=\"_blank\" rel=\"noopener nofollow\">die Datendiebstahl und Konto\u00fcbernahmen erm\u00f6glichen k\u00f6nnen<\/a>. Ein Angreifer kann dadurch die Aktionen des Anwenders \u00fcber eine so genannte <a href=\"https:\/\/www.kaspersky.com\/blog\/man-in-the-middle-attack\/\" target=\"_blank\" rel=\"noopener nofollow\">Man-in-the-Middle-Attacke<\/a> \u00fcberwachen, \u00fcber Session-Hijacking-Angriffe die Konten des Anwenders \u00fcbernehmen sowie Speicherprobleme verursachen, die zu Systemabst\u00fcrzen und Datenlecks f\u00fchren k\u00f6nnen. Die Sicherheitsl\u00fccken k\u00f6nnen einem Angreifer den Diebstahl von Login-Daten und Zugang zu Online-Banking-Konten erm\u00f6glichen.<\/p>\n<p>Ariel Sanchez, ein argentinischer Forscher der Sicherheitsfirma <a href=\"http:\/\/blog.ioactive.com\/2014\/01\/personal-banking-apps-leak-info-through.html\" target=\"_blank\" rel=\"noopener nofollow\">IOActive<\/a>, hat Tests mit 40 Mobile-Banking-Apps von 60 weltweit bekannten Banken durchgef\u00fchrt \u2013 inklusive Sicherheitsanalysen der Daten\u00fcbertragungsmechanismen der Apps, ihren Benutzeroberfl\u00e4chen und den Speicherprozessen, aber auch komplizierteren Test, etwa der Compiler und Binaries.<\/p>\n<p>Sanchez hat dabei eine Reihe von <a href=\"https:\/\/www.kaspersky.com\/blog\/exploit\/\" target=\"_blank\" rel=\"noopener nofollow\">potenziell ausnutzbaren Sicherheitsl\u00fccken<\/a> entdeckt.<\/p>\n<p>\u201eJemand mit den passenden F\u00e4higkeiten kann diese Informationen verwenden, um potenzielle Fehler zu finden und nach einiger Forschung einen Exploit oder ein Schadprogramm entwickeln, mit dem die Kunden der Banking-App angegriffen werden k\u00f6nnen\u201c, so Sanchez. \u201eMan kann sagen, dass dies der erste Schritt f\u00fcr eine potenzielle Bedrohung ist.\u201c<\/p>\n<div class=\"pullquote\">Diese Sicherheitsl\u00fccke kann genutzt werden, um Zugriff auf die Entwicklungs-Infrastruktur der Bank zu bekommen und die App mit Schadprogrammen zu infizieren, was zu einer massenhaften Infizierung bei den Anwendern f\u00fchren w\u00fcrde.<\/div>\n<p>IOActive hat laut eigener Aussage die Sicherheitsl\u00fccken bereits an die entsprechenden Banken weitergegeben. Sanchez sagt dazu allerdings, dass bisher keine der Banken ihn dar\u00fcber informiert h\u00e4tte, dass die Sicherheitsl\u00fccken geschlossen worden w\u00e4ren.<\/p>\n<p>Sanchez sagte zudem, das gr\u00f6\u00dfte Problem, das er entdeckt hat und das bei der statischen Analyse des Bin\u00e4rcodes jeder App aufgetaucht ist, seien die hartcodierten Entwicklungsdaten, die im Code zu finden sind. Mit anderen Worten: Einige der bisher nicht benannten angreifbaren Banking-Apps enthalten Teile, die zu klaren Master-Schl\u00fcsseln werden k\u00f6nnen. Diese sollen Entwicklern Zugriff auf die Entwicklungs-Infrastruktur der Apps geben. Leider k\u00f6nnen diese hartcodierten Informationen aber auch Angreifern den gleichen Zugriff geben.<\/p>\n<p>\u201eDiese Sicherheitsl\u00fccke kann genutzt werden, um Zugriff auf die Entwicklungs-Infrastruktur der Bank zu bekommen und die App mit <a href=\"https:\/\/www.kaspersky.com\/blog\/the-big-four-banking-trojans\/\" target=\"_blank\" rel=\"noopener nofollow\">Schadprogrammen<\/a> zu infizieren, was zu einer massenhaften Infizierung bei den Anwendern f\u00fchren w\u00fcrde\u201c, so Sanchez weiter.<\/p>\n<p>Ein Teil des Problems ist, dass viele der Apps unverschl\u00fcsselte Links an die Anwender schicken und\/oder die <a href=\"https:\/\/www.kaspersky.com\/blog\/digital-certificates-https\/\" target=\"_blank\" rel=\"noopener nofollow\">SSL-Zertifikate<\/a> nicht richtig validieren, wenn eine Verschl\u00fcsselung genutzt wird. Sanchez f\u00fchrt das darauf zur\u00fcck, dass es von den App-Entwicklern einfach \u00fcbersehen worden ist. Allerdings setzt das die Anwender verschiedenen Man-in-the-Middle-Attacken aus, \u00fcber die Cyberkriminelle Javascript oder HTML-Code als Teil eines Phishing-Betrugs injizieren k\u00f6nnen.<\/p>\n<p>Alle von Sanchez aufgedeckten Probleme werden noch gravierender durch die Tatsache, dass 70 Prozent der in der Analyse gepr\u00fcften Banken nicht einmal eine <a href=\"https:\/\/www.kaspersky.com\/blog\/podcast-two-factor-authentication\/\" target=\"_blank\" rel=\"noopener nofollow\">Zwei-Faktoren-Authentifizierung<\/a> implementiert haben.<\/p>\n<p>\u201eSie ben\u00f6tigen nur den Bin\u00e4rcode der App, ein Tool, diesen zu entschl\u00fcsseln, und ein Tool, den Code zu disassemblieren\u201c, sagt Sanchez dazu. \u201eEs gibt viele Artikel, die beschreiben, wie der Code dieser Apps entschl\u00fcsselt und disassembliert werden kann. Jeder mit etwas Zeit und ohne gro\u00dfes Wissen kann diesen Anleitugen ganz einfach folgen.\u201c<\/p>\n<p>IOActive ist sehr verantwortungsvoll, was jedoch \u00a0gut und schlecht ist (aber in erster Linie ist es gut). Gut daran ist, dass sie die Namen der betroffenen Banken oder Details zu den Sicherheitsl\u00fccken nicht ver\u00f6ffentlichen, die Angreifern die Informationen geben k\u00f6nnten, die sie brauchen, um die Anwender anzugreifen. Schlecht ist allerdings, dass auch die Anwender nicht wissen, welche Banken und Apps angreifbar sind, und daher auch nicht wissen, wem und welchen Apps sie vertrauen k\u00f6nnen.<\/p>\n<p>Nat\u00fcrlich sollten die vorsichtigsten unter uns <a href=\"https:\/\/www.kaspersky.com\/blog\/podcast-mobile-banking-threats\/\" target=\"_blank\" rel=\"noopener nofollow\">Mobile-Banking-Apps<\/a> gar nicht nutzen, bis die Probleme gel\u00f6st wurden. Allerdings werden die meisten von uns das einfach nicht tun. In der Zwischenzeit sollten Sie aber zumindest eine Zwei-Faktoren-Authentifizierung verwenden, falls Ihre Bank diese bietet. Davon abgesehen sollten Sie nicht einfach jedem Link in Ihrer Banking-App folgen, sich vor Phishing-Nachrichten h\u00fcten und immer ein Auge auf Ihr Bankkonto werfen.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Einige der meisgenutzten Banking-Apps f\u00fcr iOS, die von weltweit bekannten Banken stammen, enthalten Fehler, die Datendiebstahl und Konto\u00fcbernahmen erm\u00f6glichen k\u00f6nnen. Ein Angreifer kann dadurch die Aktionen des Anwenders \u00fcber eine so genannte Man-in-the-Middle-Attacke \u00fcberwachen, \u00fcber Session-Hijacking-Angriffe die Konten des Anwenders \u00fcbernehmen sowie Speicherprobleme verursachen, die zu Systemabst\u00fcrzen und Datenlecks f\u00fchren k\u00f6nnen. Die Sicherheitsl\u00fccken k\u00f6nnen einem Angreifer den Diebstahl von Login-Daten und Zugang zu Online-Banking-Konten erm\u00f6glichen.<\/p>\n","protected":false},"author":42,"featured_media":2211,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[842,50,610,53,382],"class_list":{"0":"post-2210","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-banking-apps","9":"tag-ios","10":"tag-mobile-banking","11":"tag-phishing","12":"tag-sicherheitslucken"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/banking-apps-fur-ios-sind-lochrig\/2210\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/banking-apps\/","name":"Banking-Apps"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=2210"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2210\/revisions"}],"predecessor-version":[{"id":23071,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2210\/revisions\/23071"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/2211"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=2210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=2210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=2210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}