Mehrere Banking-Apps anfällig für Man-in-the-Middle-Angriffe

Forscher der University of Birmingham haben eine Sicherheitslücke in Banking-Apps namhafter Geldinstitute gefunden. Sie ermöglichten Man-in-the-Middle-Angriffe und damit den Diebstahl von Bankdaten. Die betroffenen Banken, darunter HSBC, NatWest, Santander und Allied Irish Bank, haben die Anfälligkeit inzwischen beseitigt.

Der Fehler selbst steckte in einer Certificate Pinning genannten Technik. Sie soll eigentlich verhindern, dass sich Dritte mithilfe gefälschter Zertifikate als Bank des Nutzers ausgeben, indem nur Zertifikate akzeptiert werden, die mit einem bestimmten Root-Zertifikat signiert wurden.

Statt jedoch die Sicherheit zu verbessern, verschleierte das Certificate Pinning einen weiteren Bug: Die Banking-Apps waren nicht in der Lage, Hostnamen korrekt zu überprüfen. Das wiederum erlaubte die Man-in-the-Middle-Angriffe.

Die Schwachstelle fanden die Forscher beim Einsatz eines Tools für Sicherheitstests bei mobilen Apps. Insgesamt untersuchten sie 400 sicherheitskritische mobile Anwendungen.

„Generell war die Sicherheit der untersuchten Apps sehr gut. Die von uns entdeckten Anfälligkeiten waren schwer zu finden und wir konnten nur durch das von uns neu entwickelte Tool so viele Fehler finden“, sagte Tom Chothia, einer der Autoren der Studie. „Es ist unmöglich zu sagen, ob die Schwachstellen ausgenutzt wurden, aber falls doch, könnten sich Angreifer Zugang zu den Banking-Apps von jedem in einem kompromittierten Netzwerk verschafft haben.“

Voraussetzung für den beschrieben Angriff ist, dass ein Cyberkrimineller Zugriff auf das Netzwerk hat, in dem eine der Banking-Apps benutzt wird, beispielsweise über einen öffentlichen WLAN-Hotspot. In dem Fall wäre es möglich gewesen, jede Aktion auszuführen, die die Apps unterstützen, also auch das Überweisen von Geld auf beliebige Konten.

Bei wenigen Apps fanden die Forscher zudem Fehler, die Phishing begünstigten. Bei den Apps von Santander und der Allied Irish Bank ließen sich Teile des Bildschirms kontrollieren, um Anmeldedaten zu stehlen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

17 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

21 Stunden ago