[Technik] SpardaSecureApp für PC und Mac potentiell unsicher

Jump to last post
atm-573478_960_720.jpg

Im Forum von Kuketz Blog kam eine Diskussion über die SpardaSecureApp für PC und Mac auf [1]. Neben einer SpardaSecureApp für Android bieten die Sparda-Banken noch eine Version für den PC an [2]. Durch die App werden u.a. Transaktionen freigegeben. Oder Wie Sparda beschreibt:

Überweisungen, Daueraufträge, Serviceaufträge und vieles mehr können Sie auch ganz ohne die Eingabe einer TAN auf Ihrem PC oder Mac freigeben. Die SpardaSecureApp PC ist die einfache und sichere Alternative.

Banking mit der SpardaSecureApp PC ist ganz einfach:
Freigabe von Transaktionen ohne TAN-Eingabe auf PC oder Mac
Wählen Sie Ihr eigenes Passwort für eine einfache Anmeldung
Höchste Sicherheit durch modernste Verschlüsselung
Zum Vergrößern anklicken....

Wie viele Banken hat die Sparda eine Sicherheitslösung von Kobil gekauft. Das Ergebnis (erste Punkte gelten für Windows) liest sich nicht allzu erfreulich:

  1. App wird unsicher installiert
    App wird im Appdata/Roaming Ordner des Benutzers installiert. In diesem Ordner können alle möglichen Programme und damit auch Malware die Anwendung manipulieren [3]. Gegen Manipulation bietet die App keinen besonderen Schutz und detektiert keinen Man in the Middle Angriff.
  2. cURL aus dem Jahr 2013, zlib aus dem Jahr 2002
    Die App verwendet fest cURL aus dem Jahr 2013, auch wenn schon neuere CVEs [4] ein Update nahelegen, wie CVE-2019-3822 [5]. Daneben stammt die zlib 1.1.4 aus dem Jahr 2002. Auch hier gibt es einige CVEs, die eine neuere Version nahelegen würden.
  3. Cert Mismatch
    Die SpardaSecureApp ruft den Host secureapp.sparda.de auf der IP 212.184.124.103 auf. SSL Labs wirft einen Cert Mismatch Fehler auf [6]. SSLScan wirft eine weitere Vulnerability aus [7].
  4. Absturz nach 24 Stunden
    Die App stürzt reproduzierbar nach 24 Stunden ab, wegen fehlendem Exception Handling [8].
  5. Irreführende Fehlermeldungen
    Passend dazu gibt es eine Fehlermeldung, dass Passwort sei falsch, wenn keine Internetverbindung herrscht. Exception Handling halt.
  6. Systemlast und Programmierumgebung
    Hohe Last bei geöffneter App passt zu den vorherigen Aspekten. Die Windows-Version wurde mit Borland Delphi 7.0.2.99 aus dem Jahr 2002 programmiert. Last Compile stammt aus dem Jahr 2014. Praktisch ist es vom Sicherheitsstandard eine Windows XP Software.
  7. Updates
    Theoretisch wären Updates über eine URL möglich. Die Update-Funktion ist jedoch nicht weiter beschrieben und könnte wie die PC-Wahl-Software ausfallen.
  8. Mac-App
    Der ursprüngliche Entwickler der Mac-Version heißt Lubomir Carik, hat laut LinkedIn wohl als Externer an der Entwicklung gearbeitet und man kann seine Pfadangaben überall im macOS Build finden. Copyright aus dem Jahr 2014, Last Compile im Jahr 2016, Installation durch ein Shellskript, welches ein Risiko für den Anwender ist. Für die veraltete Komponente QT in der Version 5.7.0 findet man auch einige CVEs.

Es ist durchaus möglich, dass weitere Probleme gefunden werden.

Quellen:
[1]
You do not have permission to view link please Anmelden or Registrieren

[2]
You do not have permission to view link please Anmelden or Registrieren

[3]
You do not have permission to view link please Anmelden or Registrieren

[4]
You do not have permission to view link please Anmelden or Registrieren

[5]
You do not have permission to view link please Anmelden or Registrieren

[6]
You do not have permission to view link please Anmelden or Registrieren

[7]
You do not have permission to view link please Anmelden or Registrieren

[8]
You do not have permission to view link please Anmelden or Registrieren
 
Zum Vergrößern anklicken....
  • Thread Starter Thread Starter
  • #2
Ich war jetzt doch mal neugierig, auch wenn ich von solchen Apps - egal ob für PC oder Smartphone - wenig halte. Bei Einstellungen kann die Proxy-Einstellungen ändern. Dabei werde ich gebeten die IP und Port meines Internet Explorers (!) einzugeben. Ähm, ja, nö.
 
Hmmmm sicher das es eine App ist? Ich kenn App´s nur als Taschenlampe und Co im Handy, der andere Teil der Ausführungseinheiten für den PC nennt sich Programm.
Aber mal im Ernst. Wieso braucht man dazu eine App/Programm und führt das nicht in einem Brwoser aus?
 
  • Thread Starter Thread Starter
  • #4
Die Anwendung (engl. Application, kurzform App) hat nunmal App im Namen :unknown:

Naja, weil du im selben Browser die Überweisung tätigst. Du brauchst irgendwo noch einen weiter Faktor, der unabhängig vom ersten sein sollte. Dass dies bei einer schlecht programmierten Anwendung auf demselben PC nicht der Fall ist, ist eine andere Geschichte. TANs sind im Endeffekt auch nichts anderes als ein weiterer Faktor.
 
Ich ziehe dann lieber den TAN-Generator vor, der die Flacker-Balken scannt.
Auch wenn das für Unterwegs eher unpraktisch ist.
 
You do not have permission to view link please Anmelden or Registrieren
Mach ich auch. Und mal ehrlich: welche Transaktion ist so sekundenwichtig, dass man's nicht erst Zuhause machen kann?

Wenn einer meiner Kollegen mal eben das Handy zückt, drei- bis viermal tippt und sagt, dass er gerade flott was bezahlt hat,
stellen sich meine Nackenhaare auf und ich bange um sein Gehalt und Erspartes ;)
 
  • Thread Starter Thread Starter
  • #7
Gute: meist zahlt die Bank, wenn man ihre Apps verwendet. Leider hat man erst die Schererei.

Ich sehe das nur ein, wenn ich länger im Urlaub bin.
 
Naja, wenn meine Miete, Gas und Strom erstmal nicht abgebucht werden können und ich mit vollem Einkaufswagen an der Kasse nicht zahlen kann,
ist mir das relativ egal, ob die Bank das nach drölfzig Seiten Schadenaufnahmefall und weiteren neun Wochen übernimmt.

Leider werden solche Sachen mit der mangelnden Sicherheit nur in Kreisen wie hier und anderen IT-affinen Bereichen besprochen.
In normalen Nachrichten oder von den betroffenen Unternhehmen kommt für den Normal-Dummie nichts.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben