Wieder einmal sind Blogger-Kollegen deutlich über das Ziel hinausgeschossen. Das renommierte Computermagazin c't kritisierte in einem Artikel Sicherheitslücken von Banking-Apps. Vor allem iControl erwies sich als verwundbar, aber auch iOutBank und S-Banking offenbarten Sicherheitslecks. In unserer Reihe Fanboy-Alarm wollen wir auch diesmal die Faktenlage richtigstellen. (...)

Die Kollegen von iFun spielten die von der c't entdeckten Sicherheitslücken, in einem Artikel vom 4. Dezember, wie folgt herunter:

Allerdings scheinen uns die getesteten Angriffs-Szenarien, zumindest teilweise, eher konstruiert denn alltäglich. Aussagen wie “Wenn das iPhone verloren geht, schützt ein eventuell gesetzter Passcode nicht wirklich, denn er lässt sich über einen angepassten Jailbreak entfernen” ließen sich zum Beispiel durch den Hinweis auf die Möglichkeit zur Fernlöschung relativieren.

Fernlöschungen sind aber nur dann möglich, wenn die Funktion auf dem iPhone eingerichtet und aktiviert ist. Schon das Einschalten des Flugmodus (oder das Entfernen der SIM-Karte), setzt diese Notlösung außer Kraft. Ein konstruiertes Szenario? Wohl kaum. Als vermeintlicher iPhone-Experte, sollte man dies eigentlich wissen.

Anschließend folgt im iFun-Artikel diese Falschdarstellung:

Zudem erhält ein Angreifer auf diese Weise maximal Informationen über die finanziellen Verhältnisse des Betroffenen, hat jedoch nicht die Möglichkeit, diesen weiter zu schädigen.

Die Kollegen hätten es besser wissen müssen, schließlich verlinken sie auf einen heise-online-Artikel, der die Sache völlig anders darstellt:

Doch iControl entschlüsselte die komplette Datenbank inklusive Kontoinformationen und abgespeicherten Überweisungsdaten bereits vor dessen Eingabe.

So legte etwa iOutBank exportierte TAN-Listen unverschlüsselt auf dem iPhone ab.

Dafür schlampt der mobile, kleine Bruder von Star Money (gemeint ist S-Banking, Anm. d. Redaktion) bei der Verschlüsselung der im Netzwerk übertragenen Daten. Im Test überprüfte er den Namen der Gegenstelle nicht und lieferte deshalb einem Man-in-The-Middle-Angreifer alle Daten frei Haus, die eigentlich an einen Postbank-Server geschickt werden sollten.

Wie die iFun-Redakteure diese wichtigen Passagen ausblenden konnten, ist uns schleierhaft. Immerhin lautete das iFun-Fazit damals aber noch:

Dennoch hat die c’t-Kritik ihre Berechtigung.

Die Blogger scheinen aber nur 10 Tage später ihre Meinung geändert zu haben und schießen nun in einem weiteren Artikel scharf gegen die c't:

Wohl nicht zuletzt zur Auflagensteigerung, hatte das Heise mehrere Angriffsszenarien auf iPhone-kompatible Banking-Applikationen konstruiert bei denen vom Verlust des Gerätes ausgegangen wurde.

Erneut wiederholen die Blogger also ihre falsche Darstellung, blenden den Man-in-The-Middle-Angriff aus und greifen das renommierte Computermagazin mit einer frechen Unterstellung an.

Die Schmähung ist aber noch nicht zu Ende. Die App-Store-Bewertungen zu den drei Banking-Apps, beurteilen die Redakteure als "generell eher nutzlos". Auch dass sich einige Bewertungen auf den Artikel der Fachzeitschrift c't beziehen, verstehen die Kollegen nicht.

Wir dagegen schon, denn das c't-Fazit zu iControl lautet:

Der Entwickler gestand freimütig ein, dass er lediglich Anwendungsprogrammierer, aber kein Sicherheitsexperte sei und iControl nur in seiner Freizeit am Wochenende weiterentwickle. Leider merkt man das auch am Resultat. Wer diesem Programm vertrauliche Daten anvertraut, handelt fast schon fahrlässig.

iControl enthält so viele Nachlässigkeiten, dass man nur empfehlen kann, einen großen Bogen darum zu machen.

Trotz dieses vernichtenden Urteils werden die Blogger von iFun nicht müde zu betonen, das iControl der "Online-Banking Favorit" des Teams ist. Wie man seine Leser mit derartigen Empfehlungen versorgen kann, ist uns ein Rätsel.
Zumindest lässt sich erahnen woher die Abneigung gegen die Kritik der Sicherheitsexperten vom heise Zeitschriftenverlag kommt, wenn man den iFun-Artikel bis zum Ende liest. Die zur Verlosung ausgeschriebenen iControl-Promo-Codes, wollen natürlich an den Mann (und die Frau) gebracht werden. Ein unschöner Beigeschmack entsteht, wenn man sich vor Augen führt, wer den Bloggern die Codes zur Verfügung gestellt hat.

Übrigens hat die von uns genutzte und empfohlene Banking-App iOutBank die c't-Experten schon eher überzeugt. Der Fehler mit der beim Exportieren entschlüsselten TAN-Liste, wurde inzwischen beseitigt. Sicherheitshalber sollte nach einem Update auf die aktuelle Version ein Backup mit iTunes angelegt werden. Damit werden eventuell vorhandene (unverschlüsselte) Datenreste der alten Version überschrieben.

• Neuer Kommentar
• Suche

Kommentare (0)

Kommentar schreiben

Ihre Kontaktdetails:

Name:

E-Mail: nicht benachrichtigenbenachrichtigen

Website:

Kommentare:

Titel:

UBBCode:         -Farbe-AquaSchwarzBlauFuchsiaGrauGrünHellgrünBraunMarineblauOlivPurpurrotRotSilberBlaugrünWeissGelb -Grösse-winzigkleinmittelgrossriesig

Nachricht:

Security

Bitte geben Sie den Anti-Spam-Code aus diesem Bild ein.

Powered by !JoomlaComment 4.0 beta2