02.01.2017 Schutzsystem von Online-Bank komplett ausgehebelt

Sicherheitsmängel beim Bank-Startup N26 aufgedeckt

Uups! Auf dem 33C3 in Hamburg konnte der Erlanger Sicherheitsexperte Vincent Haupert mit einigen recht leicht anwendbaren Hackertricks ein beim Berliner Startup N26 geführtes Bankkonto über sein Mobiltelefon übernehmen.

Es war danach möglich Überweisungen auszuführen und den Sofort-Kreditrahmen in Höhe von 2000 Euro in Anspruch zu nehmen. So etwas solte bei einer Bank-Software eigentlich nicht möglich sein.

Grund für die Fehleranfälligkeit war zum einen, dass ein Nutzer alle seine Kontakte mit E-Mails und Telefonnummern bei N26 hochladen könne und das Unternehmen diese unverschlüsselt im Backend-System speichert. So war es einfach viele (ca. 33.000) der 68 Millionen Login-Informationen aus dem Dropbox-Hack an der N26-API erfolgreich zu identifizieren.

Außerdem waren die Apps für iOS und Android anfällig für einen "Man in the Middle"-Angriff. Ohne den Client anzurühren, konnte man das von N26 verwendete Application Programming Interface (API) quasi in Echtzeit kontrollieren und so auch Überweisungen ausführen.

Als Helferin bei dem Hack erwies sich Siri, die Sprachassistentin in iOS. Auf diesem Weg hätten die Sicherheitstester nach Erlangen des Zugangscodes mündlich 200 Überweisungen von Kleinstbeträgen durchgeführt, ohne dass der angeblich irreguläre Aktionen aufdeckende N26-Algorithmus Alarm geschlagen habe.

Mehr dazu bei https://www.heise.de/newsticker/meldung/33C3-Schwere-Sicherheitsmaengel-beim-Bank-Startup-N26-aufgedeckt-3582313.html
und 33C3 https://events.ccc.de/congress/2016/wiki/Main_Page

Alle Artikel zu

 


Kommentar: RE: 20170102 Schutzsystem von Online-Bank komplett ausgehebelt

 

Mit dem im Bild gezeigten Antik-Mobile wär das nicht passiert
F... iOS, Android Apps

Ro., 02.01.2016 11:39


 

 


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/2Jj
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/5863-20170102-schutzsystem-von-online-bank-komplett-ausgehebelt.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/5863-20170102-schutzsystem-von-online-bank-komplett-ausgehebelt.htm
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #InternetBanking #Apps #Siri #IOS #Android #Hacking #Trojaner #Cookies #Verschluesselung #Smartphone #Handy
Erstellt: 2017-01-02 09:08:06
Aufrufe: 1902

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

Wir im Web2.0


Diaspora Mastodon Twitter Youtube Tumblr Flickr FsA Wikipedia Facebook Bitmessage FsA Song


Impressum  Datenschutz  Sitemap