Für das Computermagazin c’t, durchgeführt von heise security, wurde die aktuelle Sicherheit der multibankfähigen iPhone-Apps überprüft – mit erschreckenden Ergebnissen. Die Apps iControl, iOutBanking und S-Banking weisen gravierende Sicherheitslücken auf. Dabei ist es laut heise.de möglich, dass Kontodaten und sogar TANs kompromittiert werden.
Der Inhalt im Überblick
Apps im Test: durchgefallen
Gerät das iPhone in die Hände eines fremden Nutzers, schützt auch ein vorher gesetztes Passwort nicht: über einen angepassten Jailbreak, der das iPhone inoffiziell entsperrt, kann der unberechtigte Nutzer an alle Daten des iPhones und damit auch an die Banking-Apps gelangen. Auch hier bringt das Passwort, das der jeweilige Nutzer für die einzelnen Apps anlegt, nicht sonderlich viel für die Sicherheit: iControl beispielsweise entschlüsselte die vollständige Datenbank sowie die Kontoinformationen bereits vor Eingabe des Passworts.
Faktisch werden vom iPhone in vielen Fällen die Kontodaten direkt auf dem Telefon gespeichert, weil der Vorgang, der die entschlüsselten Daten beim Beenden normalerweise wieder verschlüsseln sollte, nicht funktioniert – für den iPhone-Banking Nutzer kann dies fatale Folgen haben. Gerät das iPhone in falsche Hände, besteht überhaupt kein Schutz mehr. Zudem wurden TAN-Listen von iOutBank unverschlüsselt auf dem iPhone abgelegt – und waren damit schon bei der nächsten Synchronisation auf dem Computer. Der nächste Trojaner kann diese Listen dann ohne weitere Hindernisse abgreifen. Sicherheit sieht anders aus.
Hersteller versprechen Verbesserung
Die Hersteller der genannten Apps haben die Sicherheitslücken bestätigt und versprachen neue Versionen der Apps mit verbesserten Sicherheitsmechanismen zu erstellen. Der Hersteller von iOutBank will das Design der App so ändern, dass keine Klartextdaten mehr im System abgelegt werden. Zumindest ein Schritt in die richtige Richtung.
Fazit: Vorsicht bei iPhone-Banking
Im Ergebnis haben alle drei Apps im Sicherheitstest – zumindest laut heise.de – extrem schlecht abgeschnitten. Für den Nutzer heißt dies: Bis zur vollständigen Verbesserung der Sicherheit der einzelnen Apps, ist bei der Nutzung von iPhone-Banking Vorsicht geboten. Trotz Verantwortung der Hersteller für solche Apps bleibt letztlich der User selbstverantwortlich für seine Daten.