02.01.2017 Schutzsystem von Online-Bank komplett ausgehebelt
Sorry, most articles are not available in English yet

Sicherheitsmängel beim Bank-Startup N26 aufgedeckt

Uups! Auf dem 33C3 in Hamburg konnte der Erlanger Sicherheitsexperte Vincent Haupert mit einigen recht leicht anwendbaren Hackertricks ein beim Berliner Startup N26 geführtes Bankkonto über sein Mobiltelefon übernehmen.

Es war danach möglich Überweisungen auszuführen und den Sofort-Kreditrahmen in Höhe von 2000 Euro in Anspruch zu nehmen. So etwas solte bei einer Bank-Software eigentlich nicht möglich sein.

Grund für die Fehleranfälligkeit war zum einen, dass ein Nutzer alle seine Kontakte mit E-Mails und Telefonnummern bei N26 hochladen könne und das Unternehmen diese unverschlüsselt im Backend-System speichert. So war es einfach viele (ca. 33.000) der 68 Millionen Login-Informationen aus dem Dropbox-Hack an der N26-API erfolgreich zu identifizieren.

Außerdem waren die Apps für iOS und Android anfällig für einen "Man in the Middle"-Angriff. Ohne den Client anzurühren, konnte man das von N26 verwendete Application Programming Interface (API) quasi in Echtzeit kontrollieren und so auch Überweisungen ausführen.

Als Helferin bei dem Hack erwies sich Siri, die Sprachassistentin in iOS. Auf diesem Weg hätten die Sicherheitstester nach Erlangen des Zugangscodes mündlich 200 Überweisungen von Kleinstbeträgen durchgeführt, ohne dass der angeblich irreguläre Aktionen aufdeckende N26-Algorithmus Alarm geschlagen habe.

Mehr dazu bei https://www.heise.de/newsticker/meldung/33C3-Schwere-Sicherheitsmaengel-beim-Bank-Startup-N26-aufgedeckt-3582313.html
und 33C3 https://events.ccc.de/congress/2016/wiki/Main_Page

Alle Artikel zu

 


Kommentar: RE: 20170102 Schutzsystem von Online-Bank komplett ausgehebelt

 

Mit dem im Bild gezeigten Antik-Mobile wär das nicht passiert
F... iOS, Android Apps

Ro., 02.01.2016 11:39


 

 


Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/2Jj
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/5863-20170102-schutzsystem-von-online-bank-komplett-ausgehebelt.htm
Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/5863-20170102-schutzsystem-von-online-bank-komplett-ausgehebelt.htm
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #InternetBanking #Apps #Siri #IOS #Android #Hacking #Trojaner #Cookies #Verschluesselung #Smartphone #Handy
Created: 2017-01-02 09:08:06


Kommentar abgeben

For further confidential communication, we recommend that you include a reference to a secure messenger, such as Session, Bitmessage, or similar, below the comment text.
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

We in the Web2.0


Diaspora Mastodon Twitter Youtube Tumblr Flickr FsA Wikipedia Facebook Bitmessage FsA Song


Impressum  Privacy  Sitemap