Home » News » N26 – Unsicheres Mobil-Banking – die Lücken sind aber mittlerweile geschlossen

N26 – Unsicheres Mobil-Banking – die Lücken sind aber mittlerweile geschlossen

Flash Player mit Sicherheitslücken - Adobe stellt Update bereit
Flash Player mit Sicherheitslücken - Adobe stellt Update bereit ((© frank peters - Fotolia.com))

N26 – Unsicheres Mobil-Banking durch Lücken in der Banking App – Auf dem 33. Chaos Communication Congress ging es in diesem Jahr auch wieder um das mobile Banking und diesmal standen die Dienste von N26 im Mittelpunkt. Vincent Haupert – IT-Sicherheitsforscher der Uni Erlangen-Nürnberg – hat sich die mobile App des Unternehmens angeschaut und dabei einige gravierende Sicherheitsprobleme gefunden.

Im Interview mit netzpolitik.org beschreibt er die Probleme:

Für Angreifer, die die Login-Daten eines Kunden kennen, ist es außerdem möglich gewesen, das eigene Telefon als mit dem N26-Konto verknüpftes Gerät zu registrieren. Das verknüpfte Smartphone ist gewissermaßen der zweite Faktor im Authentifizierungssystem des Unternehmens und ermöglicht vollen Zugriff auf das Konto eines Kunden. Vom Konzept her ist dieser Schritt zwar gut geschützt, ein Großteil der benötigten Daten über einen Kunden lässt sich aber aus der N26-API herauslesen

Es hilft in solchen Fällen dann auch nicht viel, wenn kein Geld auf dem Konto ist, denn die N26 Online-Konten haben einen Rahmen für Überziehungskredite von 2.000 Euro. Auch wenn kein Geld auf dem Konto ist, kann ein möglicher Angreifer zumindest auf diesen Betrag zugreifen und das Konto in dieser Höhe überziehen. Der Besitzer müsste dann nicht nur die 2.000 Euro ausgleichen sondern auch noch die Zinsen auf diesen Kredit zahlen.

Viele Kunden haben mittlerweile reagiert und unter anderem aufgrund der Umstellung von N26 auf eigene Konten ihre Anlagen wieder gelöscht.

N26 hat die Mängel bereits beseitigt

Vincent Haupert hatte die Mängel bereits vor der Veröffentlichung auf dem 33. Chaos Communication Congress an N26 gemeldet und das Unternehmen hat erfreulicherweise sehr schnell reagiert. Die gefundenen Schwachstellen wurden Mitte Dezember geschlossen und sind auf diese Weise nun nicht mehr nutzbar. Im Blog schreibt dazu Unternehmen am 14. Dezember dazu:

In diesem Zusammenhang stehen wir auch im engen Austausch mit dem IT Sicherheitsforscher Vincent Haupert, der uns auf mögliche Angriffspunkte bei N26 aufmerksam gemacht hat. Wir sind allen bereits nachgegangen, haben eventuelle Sicherheitslücken vollständig geschlossen und diese Möglichkeit genutzt, unser System noch sicherer zu machen. Vincent hat seine Analyse wie folgt zusammengefasst: “Nach unserem besten Wissen wurden alle Schwachstellen, die wir an N26 reportet haben, behoben. Wir möchten uns für den freundlichen und offenen Kontakt mit N26 bedanken.”

Bis heute  sind uns keine Schadensfälle durch den theoretischen  Zugriff bekannt. Als N26 Kunden müsst ihr nichts weiteres machen, als eure Apps up to date halten. Falls ihr euch für weitere technische Details interessiert, könnt ihr euch die hier durchlesen.

Prinzipiell sollte man immer im Hinterkopf behalten, dass bei Banking auf der Handy und Smartphone diese Geräte natürlich zu einem Angriffspunkt werden und man sie genau so absichern sollte, wie man das mit dem heimischen PC tun würden. Dazu kann man sich natürlich auch fragen, ob es wirklich notwendig ist, die Bankgeschäfte in jedem Fall per Handy abzuwickeln. Nur selten sind Transaktionen so eilig, dass man sich nicht auch auf dem PC vornehmen könnte. Auf jeden Fall sollte man den Kontostand auf dem Handy aber in jedem Fall im Blick haben um bei Probleme und eventuellen Sicherheitsproblemen schnell reagieren zu können.

 

 

Weiterlesen!

Vodafone testet unlimitiertes Datenvolumen bei den kostenlose Sim

Vodafone testet unlimitiertes Datenvolumen bei den kostenlose Sim  – Tagesflats sind sehr gut geeignet, wenn ...

One comment

  1. Apps und alles was auf dem Mobiltelefon ist ist generell noch alles viel zu unsicher.
    Ich weiss nicht ob ich jemals einer Banking App vertrauen werde, es geht ja damit los, dass das ganze Android Konto an der gmail Adresse hängt welche nicht selten gehackt wird. Wenn Hacker wie ich vermute recht einfach die Kontrolle über mein Smartphone ergreifen können möchte ich über dieses nichts mit Geld machen.