banner sicherheit https-everywhere Zugriff im Tor-Netzwerk Sitemap | Impressum DE | EN
web2.0 Diaspora RSS Vimeo A-FsA Song MeetUp Twitter Youtube Flickr Spenden über Betterplace Bitmessage Facebook Wikipedia
02.01.2017 Schutzsystem von Online-Bank komplett ausgehebelt

Sicherheitsmängel beim Bank-Startup N26 aufgedeckt

Uups! Auf dem 33C3 in Hamburg konnte der Erlanger Sicherheitsexperte Vincent Haupert mit einigen recht leicht anwendbaren Hackertricks ein beim Berliner Startup N26 geführtes Bankkonto über sein Mobiltelefon übernehmen.

Es war danach möglich Überweisungen auszuführen und den Sofort-Kreditrahmen in Höhe von 2000 Euro in Anspruch zu nehmen. So etwas solte bei einer Bank-Software eigentlich nicht möglich sein.

Grund für die Fehleranfälligkeit war zum einen, dass ein Nutzer alle seine Kontakte mit E-Mails und Telefonnummern bei N26 hochladen könne und das Unternehmen diese unverschlüsselt im Backend-System speichert. So war es einfach viele (ca. 33.000) der 68 Millionen Login-Informationen aus dem Dropbox-Hack an der N26-API erfolgreich zu identifizieren.

Außerdem waren die Apps für iOS und Android anfällig für einen "Man in the Middle"-Angriff. Ohne den Client anzurühren, konnte man das von N26 verwendete Application Programming Interface (API) quasi in Echtzeit kontrollieren und so auch Überweisungen ausführen.

Als Helferin bei dem Hack erwies sich Siri, die Sprachassistentin in iOS. Auf diesem Weg hätten die Sicherheitstester nach Erlangen des Zugangscodes mündlich 200 Überweisungen von Kleinstbeträgen durchgeführt, ohne dass der angeblich irreguläre Aktionen aufdeckende N26-Algorithmus Alarm geschlagen habe.

Mehr dazu bei https://www.heise.de/newsticker/meldung/33C3-Schwere-Sicherheitsmaengel-beim-Bank-Startup-N26-aufgedeckt-3582313.html
und 33C3 https://events.ccc.de/congress/2016/wiki/Main_Page

Alle Artikel zu

 


Kommentar: RE: 20170102 Schutzsystem von Online-Bank komplett ausgehebelt

 

Mit dem im Bild gezeigten Antik-Mobile wär das nicht passiert
F... iOS, Android Apps

Ro., 02.01.2016 11:39


 

 


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/2Jj
Tags: Verbraucherdatenschutz, Datenschutz, Datensicherheit, Ergonomie, Datenpannen, Datenskandale, Internet Banking, Apps, Siri, IOS, Android, Hacking, Trojaner, Cookies, Verschluesselung, Smartphone, Handy
Erstellt: 2017-01-02 09:08:06
Aufrufe: 401

Kommentar abgeben

Wer hat, der kann! Für eine verschlüsselte Rückantwort hier den eigenen Public Key reinkopieren.
(Natürlich optional)
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots auszuschließen.
logos Mitglied bei European Civil Liberties Network Creative Commons Mitglied bei WorldBeyondWar Wir unterstützen den CCC Beim freiwilligen Engagement stets dabei Mitglied bei Schule ohne Militär Wir speichern nicht Wir verwenden kein JavaScript Mitglied bei Fundamental Right Platform Für Transparenz in der Zivilgesellschaft Nominiert für Deutschen Engagementpreis