Forscher der University of Birmingham haben eine Sicherheitslücke in Banking-Apps namhafter Geldinstitute gefunden. Sie ermöglichten Man-in-the-Middle-Angriffe und damit den Diebstahl von Bankdaten. Die betroffenen Banken, darunter HSBC, NatWest, Santander und Allied Irish Bank, haben die Anfälligkeit inzwischen beseitigt.
Der Fehler selbst steckte in einer Certificate Pinning genannten Technik. Sie soll eigentlich verhindern, dass sich Dritte mithilfe gefälschter Zertifikate als Bank des Nutzers ausgeben, indem nur Zertifikate akzeptiert werden, die mit einem bestimmten Root-Zertifikat signiert wurden.
Statt jedoch die Sicherheit zu verbessern, verschleierte das Certificate Pinning einen weiteren Bug: Die Banking-Apps waren nicht in der Lage, Hostnamen korrekt zu überprüfen. Das wiederum erlaubte die Man-in-the-Middle-Angriffe.
Die Schwachstelle fanden die Forscher beim Einsatz eines Tools für Sicherheitstests bei mobilen Apps. Insgesamt untersuchten sie 400 sicherheitskritische mobile Anwendungen.
„Generell war die Sicherheit der untersuchten Apps sehr gut. Die von uns entdeckten Anfälligkeiten waren schwer zu finden und wir konnten nur durch das von uns neu entwickelte Tool so viele Fehler finden“, sagte Tom Chothia, einer der Autoren der Studie. „Es ist unmöglich zu sagen, ob die Schwachstellen ausgenutzt wurden, aber falls doch, könnten sich Angreifer Zugang zu den Banking-Apps von jedem in einem kompromittierten Netzwerk verschafft haben.“
Voraussetzung für den beschrieben Angriff ist, dass ein Cyberkrimineller Zugriff auf das Netzwerk hat, in dem eine der Banking-Apps benutzt wird, beispielsweise über einen öffentlichen WLAN-Hotspot. In dem Fall wäre es möglich gewesen, jede Aktion auszuführen, die die Apps unterstützen, also auch das Überweisen von Geld auf beliebige Konten.
Bei wenigen Apps fanden die Forscher zudem Fehler, die Phishing begünstigten. Bei den Apps von Santander und der Allied Irish Bank ließen sich Teile des Bildschirms kontrollieren, um Anmeldedaten zu stehlen.
So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
2 Kommentare zu Mehrere Banking-Apps anfällig für Man-in-the-Middle-Angriffe
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Geht es etwas genauer? Welche Banken, welche Apps? gibts da eine Liste.
sowas muss doch transparent recherchiert und dargestellt werden!
Bank of America Health
TunnelBear VPN
Meezan Bank
Smile Bank
HSBC
HSBC Business
HSBC Identity
HSBCnet
HSBC Private
Wenn das die betroffenen Banken sind, dann frage ich mich wo hier der Informationswert für deutsche Bankkunden ist?
Sind deutsche Banken und Sparkassen betroffen? Erst dann wird es doch für uns wichtig!
Da die Forscher aus Birmingham sind, haben sie sich auf in Großbritannien vertretene Geldinstitute konzentriert. Leider enthält die öffentlich zugängliche Studie keine vollständige Liste aller geprüften 400 Apps. Unabhängig vom Geldinstitut werden Nutzer mindestens daran erinnert, dass auch Banking-Apps nicht so sicher sind, wie sie eigentlich sein sollten.