Forscher der University of Birmingham haben eine Sicherheitslücke in Banking-Apps namhafter Geldinstitute gefunden. Sie ermöglichten Man-in-the-Middle-Angriffe und damit den Diebstahl von Bankdaten. Die betroffenen Banken, darunter HSBC, NatWest, Santander und Allied Irish Bank, haben die Anfälligkeit inzwischen beseitigt.
Statt jedoch die Sicherheit zu verbessern, verschleierte das Certificate Pinning einen weiteren Bug: Die Banking-Apps waren nicht in der Lage, Hostnamen korrekt zu überprüfen. Das wiederum erlaubte die Man-in-the-Middle-Angriffe.
Die Schwachstelle fanden die Forscher beim Einsatz eines Tools für Sicherheitstests bei mobilen Apps. Insgesamt untersuchten sie 400 sicherheitskritische mobile Anwendungen.
„Generell war die Sicherheit der untersuchten Apps sehr gut. Die von uns entdeckten Anfälligkeiten waren schwer zu finden und wir konnten nur durch das von uns neu entwickelte Tool so viele Fehler finden“, sagte Tom Chothia, einer der Autoren der Studie. „Es ist unmöglich zu sagen, ob die Schwachstellen ausgenutzt wurden, aber falls doch, könnten sich Angreifer Zugang zu den Banking-Apps von jedem in einem kompromittierten Netzwerk verschafft haben.“
Voraussetzung für den beschrieben Angriff ist, dass ein Cyberkrimineller Zugriff auf das Netzwerk hat, in dem eine der Banking-Apps benutzt wird, beispielsweise über einen öffentlichen WLAN-Hotspot. In dem Fall wäre es möglich gewesen, jede Aktion auszuführen, die die Apps unterstützen, also auch das Überweisen von Geld auf beliebige Konten.
Bei wenigen Apps fanden die Forscher zudem Fehler, die Phishing begünstigten. Bei den Apps von Santander und der Allied Irish Bank ließen sich Teile des Bildschirms kontrollieren, um Anmeldedaten zu stehlen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.