10.07.2007 00:07
Sparkassen-Webseiten haben weiterhin Probleme mit der Sicherheit [Update]
An Stelle der Warnung hätte ein Phisher dort nach PIN und TAN gefragt.
Bankenseiten weisen nach wie vor Schwachstellen auf: Der Internetauftritt sparkasse.de zeigte sich für Frame-Spoofing verwundbar, mit dem es möglich war, den im Internet Explorer dargestellten Inhalt zu manipulieren. Phisher hätten dies für ihre Zwecke missbrauchen können, um Bankkunden glauben zu lassen, eine angezeigte Abfrage von PIN und TAN stamme von der Bank.
Nach der Benachrichtigung durch heise Security wurde das Problem behoben, allerdings nutzten immer noch weitere Seiten Frames auf sparkasse.de, mit denen sich im Internet Explorer 6 Inhalte austauschen ließen. Dazu gehört unter anderem finanzen.sparkasse.de. Dort ist das Frame-Problem zwar mittlerweile auch behoben, indem der Frame nun keinen Namen mehr hat. Ganz sicher war man sich wohl aber nicht und hat folgenden Code in die Seite eingefügt:
if(window.opener && (navigator.appName == "Microsoft Internet Explorer" &&
(navigator.appVersion.search("MSIE 6.0") != -1 ||
navigator.appVersion.search("MSIE 5.") != -1)))
{
window.close();
}
Sofern die betroffene Seite im Internet Explorer 5 oder 6 über einen externen Link aufgerufen wird, schließt das Skript sie sofort wieder.
In einer Stellungnahme gegenüber c't-TV betonte der Deutsche Sparkassen- und Giroverband (DSGV), dass die Sicherheit erhöht wurde. Zudem sei man vom TÜV Rheinland zertifiziert, der regelmäßig die Sicherheit der Webseiten prüfe. Warum dieser allerdings einen seit Jahren bekannten systematischen Fehler in den sparkassen.de-Seiten übersah, blieb unbeantwortet. Vielmehr rät der DSGV seinen Kunden, doch auf die Sicherheitsmerkmale im Browser zu achten. Damit ließe sich Phishing verhindern.
Bei der Sparkasse Hannover lässt sich immerhin noch der Seiten-Frame austauschen.
Auch die Sparkasse Hannover weist derzeit auf ihren Seiten noch eine Frame-Spoofing-Lücke auf. Nicht zuletzt fand sich noch bis zum vergangenen Wochenende eine Cross-Site-Scripting-Lücke in den Seiten der Stadtsparkasse Düsseldorf (www.sskduesseldorf.de), mit der sich ebenfalls gefälschte Inhalte im Browser des Anwenders darstellen ließen.
Update
Die Frame-Spoofing-Lücke im Webauftritt der Sparkasse Hannover ist mittlerweile behoben.
Siehe dazu auch:
- Viele Banken-Seiten weiter unzureichend gegen Missbrauch gesichert, Meldung auf heise Security
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
