Forscher der University of Birmingham haben eine Sicherheitslücke in Banking-Apps namhafter Geldinstitute gefunden. Sie ermöglichten Man-in-the-Middle-Angriffe und damit den Diebstahl von Bankdaten. Die betroffenen Banken, darunter HSBC, NatWest, Santander und Allied Irish Bank, haben die Anfälligkeit inzwischen beseitigt.
Statt jedoch die Sicherheit zu verbessern, verschleierte das Certificate Pinning einen weiteren Bug: Die Banking-Apps waren nicht in der Lage, Hostnamen korrekt zu überprüfen. Das wiederum erlaubte die Man-in-the-Middle-Angriffe.
Die Schwachstelle fanden die Forscher beim Einsatz eines Tools für Sicherheitstests bei mobilen Apps. Insgesamt untersuchten sie 400 sicherheitskritische mobile Anwendungen.
„Generell war die Sicherheit der untersuchten Apps sehr gut. Die von uns entdeckten Anfälligkeiten waren schwer zu finden und wir konnten nur durch das von uns neu entwickelte Tool so viele Fehler finden“, sagte Tom Chothia, einer der Autoren der Studie. „Es ist unmöglich zu sagen, ob die Schwachstellen ausgenutzt wurden, aber falls doch, könnten sich Angreifer Zugang zu den Banking-Apps von jedem in einem kompromittierten Netzwerk verschafft haben.“
Voraussetzung für den beschrieben Angriff ist, dass ein Cyberkrimineller Zugriff auf das Netzwerk hat, in dem eine der Banking-Apps benutzt wird, beispielsweise über einen öffentlichen WLAN-Hotspot. In dem Fall wäre es möglich gewesen, jede Aktion auszuführen, die die Apps unterstützen, also auch das Überweisen von Geld auf beliebige Konten.
Bei wenigen Apps fanden die Forscher zudem Fehler, die Phishing begünstigten. Bei den Apps von Santander und der Allied Irish Bank ließen sich Teile des Bildschirms kontrollieren, um Anmeldedaten zu stehlen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…