Mehrere Banking-Apps anfällig für Man-in-the-Middle-Angriffe

Die Sicherheitsfunktion Certificate Pinning verschleiert einen kritischen Bug. Die betroffenen Banking-Apps sind nicht in der Lage, Hostnamen korrekt zu überprüfen. Gefunden wird der Fehler nur durch den Einsatz eines neu entwickelten Sicherheitstests.

Forscher der University of Birmingham haben eine Sicherheitslücke in Banking-Apps namhafter Geldinstitute gefunden. Sie ermöglichten Man-in-the-Middle-Angriffe und damit den Diebstahl von Bankdaten. Die betroffenen Banken, darunter HSBC, NatWest, Santander und Allied Irish Bank, haben die Anfälligkeit inzwischen beseitigt.

(Bild: Shutterstock)Der Fehler selbst steckte in einer Certificate Pinning genannten Technik. Sie soll eigentlich verhindern, dass sich Dritte mithilfe gefälschter Zertifikate als Bank des Nutzers ausgeben, indem nur Zertifikate akzeptiert werden, die mit einem bestimmten Root-Zertifikat signiert wurden.

Statt jedoch die Sicherheit zu verbessern, verschleierte das Certificate Pinning einen weiteren Bug: Die Banking-Apps waren nicht in der Lage, Hostnamen korrekt zu überprüfen. Das wiederum erlaubte die Man-in-the-Middle-Angriffe.

Die Schwachstelle fanden die Forscher beim Einsatz eines Tools für Sicherheitstests bei mobilen Apps. Insgesamt untersuchten sie 400 sicherheitskritische mobile Anwendungen.

„Generell war die Sicherheit der untersuchten Apps sehr gut. Die von uns entdeckten Anfälligkeiten waren schwer zu finden und wir konnten nur durch das von uns neu entwickelte Tool so viele Fehler finden“, sagte Tom Chothia, einer der Autoren der Studie. „Es ist unmöglich zu sagen, ob die Schwachstellen ausgenutzt wurden, aber falls doch, könnten sich Angreifer Zugang zu den Banking-Apps von jedem in einem kompromittierten Netzwerk verschafft haben.“

Voraussetzung für den beschrieben Angriff ist, dass ein Cyberkrimineller Zugriff auf das Netzwerk hat, in dem eine der Banking-Apps benutzt wird, beispielsweise über einen öffentlichen WLAN-Hotspot. In dem Fall wäre es möglich gewesen, jede Aktion auszuführen, die die Apps unterstützen, also auch das Überweisen von Geld auf beliebige Konten.

Bei wenigen Apps fanden die Forscher zudem Fehler, die Phishing begünstigten. Bei den Apps von Santander und der Allied Irish Bank ließen sich Teile des Bildschirms kontrollieren, um Anmeldedaten zu stehlen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Banking, Cybercrime, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Mehrere Banking-Apps anfällig für Man-in-the-Middle-Angriffe

Kommentar hinzufügen
  • Am 8. Dezember 2017 um 8:28 von Michel

    Geht es etwas genauer? Welche Banken, welche Apps? gibts da eine Liste.
    sowas muss doch transparent recherchiert und dargestellt werden!
    Bank of America Health
    TunnelBear VPN
    Meezan Bank
    Smile Bank
    HSBC
    HSBC Business
    HSBC Identity
    HSBCnet
    HSBC Private
    Wenn das die betroffenen Banken sind, dann frage ich mich wo hier der Informationswert für deutsche Bankkunden ist?
    Sind deutsche Banken und Sparkassen betroffen? Erst dann wird es doch für uns wichtig!

    • Am 8. Dezember 2017 um 14:50 von Stefan Beiersmann

      Da die Forscher aus Birmingham sind, haben sie sich auf in Großbritannien vertretene Geldinstitute konzentriert. Leider enthält die öffentlich zugängliche Studie keine vollständige Liste aller geprüften 400 Apps. Unabhängig vom Geldinstitut werden Nutzer mindestens daran erinnert, dass auch Banking-Apps nicht so sicher sind, wie sie eigentlich sein sollten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *