Menü
Security

Erneute Lücke in Online-Banking-Programm fürs iPhone

vorlesen Drucken Kommentare lesen 194 Beiträge

Das Passwort zum Online-Banking steht im Klartext in der Keychain.

Das Online-Banking-Programm iControl für iPhone und iPad speicherte sein Zugangspasswort im Klartext auf dem Gerät. Ein Finder oder Dieb eines iPhones konnte sich damit Zugang zu allen gespeicherten Daten verschaffen. Mit einem Update beseitigt der Entwickler dieses Problem, das heise Security bei einem Test entdeckt hatte.

iControl verschlüsselt alle abgespeicherten Daten und fragt bei jedem Start ein spezielles Passwort ab. Es war jedoch schon beim letzten Test von Online-Banking-Programmen fürs iPhone äußerst negativ aufgefallen. Damals gab es den Zugriff auf alle Daten schon beim Start der App frei – noch bevor der Anwender das Passwort eingegeben hatte. Offenbar ging der damals vom Entwickler Tuong Hoang eingebaute Fix nicht weit genug. Denn bei einem Test von heise Security mit der Version 2.4.4 fand sich das Passwort für den Zugang zum Online-Banking im Klartext in der Keychain.

Die Keychain ist eine speziell gesicherte Datenbank, unter anderem für die Ablage von Kennwörtern für Online-Dienste, die man nicht jedes Mal erneut eintippen will. Wer das iPhone in die Hände bekommt, kann die Daten der Keychain trotzdem auslesen und sich damit Zugang zu allen Online-Banking-Daten verschaffen, die iControl abgespeichert hat.

heise Security informierte den Entwickler über das Problem. Die soeben veröffentlichte Version 2.4.5 soll es nun beheben, indem es laut Changelog die "Datenverschlüsselung im KeyChain [..] um eine weitere Ebene ergänzt". Da der Entwickler sich jedoch – wie er selber einräumt – in Sicherheitsfragen nicht auskennt, sollte man von einer weiteren Verwendung des Programms lieber absehen. Weitere Einzelheiten zur Sicherheit der Daten auf dem iPhone erklärt ein Artikel in c't 15/11, die Abonnenten am kommenden Wochenende erhalten. (ju)