Menü
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen
Services
  • heise Download
  • Preisvergleich
  • Whitepapers
  • Webcasts
  • Stellenmarkt
  • IT-Markt
  • Tarifrechner
  • Netzwerk-Tools
  • Spielen bei Heise
  • heise Business
  • Loseblattwerke
  • iMonitor
Heise Medien
  • heise shop
  • Artikel-Archiv
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige: Zukunftsmacher
heise Security
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. Hintergrund
  3. iPhone-Banking-Apps im Sicherheitscheck

iPhone-Banking-Apps im Sicherheitscheck

Hintergrund 22.12.2010 15:53 Uhr Jürgen Schmidt
Inhaltsverzeichnis
  1. iPhone-Banking-Apps im Sicherheitscheck
  2. iControl
  3. iOutBank
  4. S-Banking
  5. Fazit
  6. Auf einer Seite lesen

Spezielle Apps versprechen mehr Komfort und vor allem mehr Sicherheit beim Online-Banking als der Web-Browser. Der für c't durchgeführte Test zeigt, dass das nur die halbe Wahrheit ist.

Dass das iPhone durchaus auch fürs Online-Banking interessant ist, sieht man schon daran, dass der AppStore mit einer eigenen Kategorie „Finanzen“ aufwartet. Einige Online-Banking-Apps erfreuen sich großer Beliebtheit und können reihenweise gute Bewertungen vorweisen, in denen dann etwa von der „Bank für die Hosentasche“ die Rede ist. Um genauer zu untersuchen, wie es die Hosentaschenbanker mit der Sicherheit halten, haben wir die drei beliebtesten, Multibank-fähigen Apps genauer untersucht: iControl, iOutBank und S-Banking.

Neben den vertraulichen Daten wie Kontonummer, Kontostand und gespeicherten Transaktionen hantieren Online-Banking-Apps auch mit PINs und TANs. Und wenn die in fremde Hände fallen, kann das richtig teuer werden. Grundsätzlich gibt es zwei Angriffsszenarien, denen die kritischen Online-Banking-Daten ausgesetzt sind. Zum einen könnten Angreifer versuchen, die übertragenen Daten im Netz abzufangen. Zum anderen besteht natürlich auch die Gefahr, dass das iPhone verloren geht oder geklaut wird.

In beiden Fällen schützt Verschlüsselung – aber nur, wenn man sie richtig einsetzt. Und das ist keineswegs trivial, wie auch dieser Test wieder belegt. Im Netz genügt es nicht, dass die Banking-App alle übertragenen Daten verschlüsselt, sondern sie darf auch nicht auf Phishing-Angriffe hereinfallen, bei denen der Angreifer den Netzwerkverkehr umleitet und sich als die Bank ausgibt. Das iPhone verschickt dann zwar unknackbar verschlüsselten Datensalat – aber der Angreifer auf der Empfängerseite hat ja vorher mit ihm den Schlüssel ausgehandelt und kann die Daten damit ganz bequem dekodieren. Insbesondere in fremden WLANs ist dieses Angriffsszenario akut, da sich dort Netzwerkverkehr leicht umleiten lässt.

Die 3D-Darstellung gut verschlüsselter Daten weist keinerlei Struktur auf. Die Klartext-Datenbank hingegen zeigt deutliche Klumpen.

Wird das iPhone geklaut, hat man hoffentlich eine Code-Sperre aktiviert, die den direkten Zugang zum Gerät blockiert. Auch iTunes kann nicht mit einem gesperrten iPhone sprechen, mit dem es nicht bereits zuvor in ungesperrtem Zustand bekannt gemacht wurde. Die zusätzliche Option „Daten löschen“ putzt das Gerät nach 10 falschen Eingaben.

Doch leider schützt all das nur vor zufälligen Findern und Gelegenheitsdieben. Motivierte Gauner können diese Sperre leicht austricksen, indem sie die entsprechenden Konfigurationsdateien ändern. Das funktioniert etwa über Jailbreaks, die bereits sehr früh im Boot-Prozess aktiv werden. So gelang es im Test, ein aktuelles und gesperrtes iPhone 4 mit iOS 4.1 an einem Linux-Rechner, den das Gerät nie zuvor gesehen hatte, zu jailbreaken.

Dabei modifizierte GreenPois0n das System so, dass es nicht von Apple signierte Apps ausführt und legte die Loader-App auf dem Desktop ab. Genauso gut hätte es auch noch die Code-Sperre entfernen können. Mit dem kürzlich veröffentlichten Quellcode wird es zur Fingerübung, das selbst einzubauen. Ansonsten bieten das auch Dienstleister im Netz für etwa 30 Dollar an. [Nachtrag: Ab iOS 4 funktionieren die bekannten Methoden, die Code-Sperre zu entfernen, nicht mehr. Da aber der Jailbreak Zugriff auf das Dateisystem hatte, muss man auch bei iOS 4 alle dort abgelegten Daten als gefährdet betrachten.]

Für Verwirrung sorgt gelegentlich Apples Produktbeschreibung, die mit AES-Hardware-Verschlüsselung wirbt. In der Tat sind seit dem 3GS die Daten im Flash-Speicher mit einem quasi unknackbaren 256-Bit-Schlüssel verschlüsselt. Allerdings erledigt das System die Entschlüsselung vollkommen transparent; wer Zugang zu einem iPhone hat, kann spätestens nach Entfernung der Code-Sperre alle Daten auslesen.

Somit bleibt als Hauptaufgabe dieser Hardware-Verschlüsselung vor allem das sichere Löschen. Statt beim Erhalt eines Löschbefehls 32 GByte Flash-Speicher zu überschreiben, genügt es, dass das System den 256 Bit langen Schüssel wegwirft. Für alle praktischen Anforderungen mutieren die Daten damit augenblicklich zu einer quasi-zufälligen Zahlenfolge, aus der sich keine Informationen mehr extrahieren lassen.

[Nachtrag: Darüber hinaus bietet iOS seit Version 4 erweiterte Schutzmechanismen für Dateien. So kann ein Entwickler beim Erstellen einer Datei das erweiterte Attribut NSFileProtectionComplete zuweisen. Das hat zur Folge, dass die Datei mit einem Schlüssel verschlüsselt wird, in den unter anderem auch der Passcode eingeht. Die Datei lässt sich dann auf einem gesperrten iPhone nicht mehr auslesen. Ein schneller Test zeigte jedoch, dass keine der getesteten Apps diesen erst ab iOS 4 verfügbaren Mechanismus verwendete.]

Alle Online-Banking-Apps setzen ein eigenes Passwort, das zum Start der App erforderlich ist. Sie verschlüsseln die Daten mit AES 256. Wenn ein Angreifer durch Reverse Engineering das Verfahren ermittelt, wie das Passwort in den Schlüssel eingeht, kann er damit einen Brute-Force-Angriff starten, der alle Möglichkeiten durchprobiert. Diesen kann er auf einem High-End-System direkt auf die verschlüsselten Daten loslassen. Deshalb ist es extrem wichtig, lange Passwörter zu verwenden. Eine mit einem sechsstelligen, einfachen Passwort gesicherte iControl-Datenbank konnten wir ohne große Optimierungen innerhalb weniger Stunden knacken. Erst ab 10 Zeichen – ohne Großbuchstaben oder Zahlen sogar 12 – kann man davon ausgehen, dass sich Brute-Force-Angreifer die Zähne ausbeißen.

Vorherige 1 2 3 4 5 Nächste

Forum bei heise online: Verschlüsselung

https://heise.de/-1158091 Drucken
Mehr zum Thema:
Apple iPhone Online-Banking Sicherheitslücken
Anzeige
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige

heise Events secIT by Heise 2019

Der Treffpunkt für Security-Anwender und -Anbieter

  • Mehr als 35 Expert Talks
  • 12 vertiefende Workshops zu aktuellen IT-Sicherheitsthemen
  • 3.400 m² mit den wichtigsten Unternehmen aus der IT-Sicherheitsbranche
  • Zwei große Vortragsbühnen mit mehr als 45 Vorträgen führender IT-Experten
  • Netzwerken und Feiern auf der großen secIT-Party
Jetzt Ticket sichern!
Alerts! alle Alert-Meldungen

VMware-Produkte

Canonical Snap

Thunderbird

Anzeige
Anzeige
  • Security-Risiken der Public Cloud entschärfen
  • So schützen Sie Endgeräte effektiv!
  • Chancen und Grenzen der Künstlichen Intelligenz
  • Heise RegioConcept – Homepageerstellung
  • Hyperkonvergenz-IT: Effizienz rauf, Kosten runter
  • secIT 2019 – das Vortragsprogramm
  • Apps und Daten vor Cyber-Attacken schützen!
  • XDR – Neue Waffe im Kampf gegen Cyber-Angriffe
  • Hyperkonvergenz – flink, kombiniert und optimiert
  • Business-Monitor von Acer testen und behalten!
Artikel

Nach dem Passwort-Leak: Eigene Passwörter lokal checken

Eine halbe Milliarde geleakter Passwörter mal eben lokal durchsuchen? Mit einem Python-Skript geht das schnell und auch ohne riesige Downloads.

Hintergrund 32 Kommentare

Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle

Derzeit sorgt der Trojaner Emotet in Deutschland für Furore und legt ganze Unternehmen lahm. Bei vielen Firmen und Privatpersonen besteht deshalb akuter Handlungsbedarf.

Hintergrund 152 Kommentare mit Bilderstrecke

Auftragsmörder im Darknet gesucht: Was tun mit der Liste an Interessenten?

Das britische Magazin Wired hat eine aufwühlende Geschichte rund um eine Betrugsmasche im Darkweb geschrieben, die mitten in Mordermittlungen hineinführt.

Lesetipp 77 Kommentare

Neueste Forenbeiträge

  1. Habe gestern ne echt fiese Mail bekommen
    von ner Bekannten von der ich seit langem nichts gehört hatte und die in der Mail auffallend wortkarp war. Das fiese: Die Dame weilt gerade in…

    Forum:  Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

    linus22 hat keinen Avatar
    von linus22; vor 4 Stunden
  2. Re: und wieder ist nciht das pdf gefährlich sondern word... nun denn kt
    meckerpott schrieb am 20.02.2019 13:59: Genau DAS kann eine Person aus der Zielgruppe dann auch nicht mehr entscheiden. Dann wird wieder stumpf…

    Forum:  Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

    Avatar von cosinusx
    von cosinusx; vor 5 Stunden
  3. Das wird so bleiben
    Solange es E-Mail gibt. Die Frage ist, setzen wir jetzt auf die Software Giganten(aktuell hier im Angriffsfall besonders MS) das sowas in…

    Forum:  Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

    Ansichtssache hat keinen Avatar
    von Ansichtssache; vor 5 Stunden
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 610159
  • Content Management by InterRed
  • Copyright © 2019 Heise Medien