Ergebnis 1 bis 8 von 8

Thema: SpardaSecureApp für PC und Mac potentiell unsicher

  1. #1
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.476
    ngb:news Artikel
    69

    SpardaSecureApp für PC und Mac potentiell unsicher

    Klicke auf die Grafik für eine größere Ansicht 

Name:	atm-573478_960_720.jpg 
Hits:	11 
Größe:	121,4 KB 
ID:	53971

    Im Forum von Kuketz Blog kam eine Diskussion über die SpardaSecureApp für PC und Mac auf [1]. Neben einer SpardaSecureApp für Android bieten die Sparda-Banken noch eine Version für den PC an [2]. Durch die App werden u.a. Transaktionen freigegeben. Oder Wie Sparda beschreibt:

    Überweisungen, Daueraufträge, Serviceaufträge und vieles mehr können Sie auch ganz ohne die Eingabe einer TAN auf Ihrem PC oder Mac freigeben. Die SpardaSecureApp PC ist die einfache und sichere Alternative.

    Banking mit der SpardaSecureApp PC ist ganz einfach:
    Freigabe von Transaktionen ohne TAN-Eingabe auf PC oder Mac
    Wählen Sie Ihr eigenes Passwort für eine einfache Anmeldung
    Höchste Sicherheit durch modernste Verschlüsselung
    Wie viele Banken hat die Sparda eine Sicherheitslösung von Kobil gekauft. Das Ergebnis (erste Punkte gelten für Windows) liest sich nicht allzu erfreulich:

    1. App wird unsicher installiert
      App wird im Appdata/Roaming Ordner des Benutzers installiert. In diesem Ordner können alle möglichen Programme und damit auch Malware die Anwendung manipulieren [3]. Gegen Manipulation bietet die App keinen besonderen Schutz und detektiert keinen Man in the Middle Angriff.
    2. cURL aus dem Jahr 2013, zlib aus dem Jahr 2002
      Die App verwendet fest cURL aus dem Jahr 2013, auch wenn schon neuere CVEs [4] ein Update nahelegen, wie CVE-2019-3822 [5]. Daneben stammt die zlib 1.1.4 aus dem Jahr 2002. Auch hier gibt es einige CVEs, die eine neuere Version nahelegen würden.
    3. Cert Mismatch
      Die SpardaSecureApp ruft den Host secureapp.sparda.de auf der IP 212.184.124.103 auf. SSL Labs wirft einen Cert Mismatch Fehler auf [6]. SSLScan wirft eine weitere Vulnerability aus [7].
    4. Absturz nach 24 Stunden
      Die App stürzt reproduzierbar nach 24 Stunden ab, wegen fehlendem Exception Handling [8].
    5. Irreführende Fehlermeldungen
      Passend dazu gibt es eine Fehlermeldung, dass Passwort sei falsch, wenn keine Internetverbindung herrscht. Exception Handling halt.
    6. Systemlast und Programmierumgebung
      Hohe Last bei geöffneter App passt zu den vorherigen Aspekten. Die Windows-Version wurde mit Borland Delphi 7.0.2.99 aus dem Jahr 2002 programmiert. Last Compile stammt aus dem Jahr 2014. Praktisch ist es vom Sicherheitsstandard eine Windows XP Software.
    7. Updates
      Theoretisch wären Updates über eine URL möglich. Die Update-Funktion ist jedoch nicht weiter beschrieben und könnte wie die PC-Wahl-Software ausfallen.
    8. Mac-App
      Der ursprüngliche Entwickler der Mac-Version heißt Lubomir Carik, hat laut LinkedIn wohl als Externer an der Entwicklung gearbeitet und man kann seine Pfadangaben überall im macOS Build finden. Copyright aus dem Jahr 2014, Last Compile im Jahr 2016, Installation durch ein Shellskript, welches ein Risiko für den Anwender ist. Für die veraltete Komponente QT in der Version 5.7.0 findet man auch einige CVEs.


    Es ist durchaus möglich, dass weitere Probleme gefunden werden.

    Quellen:
    [1] https://forum.kuketz-blog.de/viewtopic.php?f=48&t=3494
    [2] https://www.sparda.de/online-service-secureapp-pc/
    [3] https://docs.microsoft.com/en-us/win...rieve-app-data
    [4] https://curl.haxx.se/docs/security.html
    [5] https://www.securityfocus.com/bid/106950/info
    [6] https://pics.jakobs.systems/uploads/...aa64b06343.png
    [7] https://pics.jakobs.systems/uploads/...1ba09a0497.png
    [8] https://pics.jakobs.systems/uploads/...2e5f51924d.png
    Für diesen Beitrag bedankt sich Chegwidden
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  2. #2
    in Schwarz

    Moderator

    (Threadstarter)

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.476
    ngb:news Artikel
    69

    Re: SpardaSecureApp für PC und Mac potentiell unsicher

    Ich war jetzt doch mal neugierig, auch wenn ich von solchen Apps - egal ob für PC oder Smartphone - wenig halte. Bei Einstellungen kann die Proxy-Einstellungen ändern. Dabei werde ich gebeten die IP und Port meines Internet Explorers (!) einzugeben. Ähm, ja, nö.
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  3. #3
    Avatar von Jan_de_Marten
    Registriert seit
    Jul 2013
    Ort
    Tor des Nordens
    Beiträge
    1.037

    Re: SpardaSecureApp für PC und Mac potentiell unsicher

    Hmmmm sicher das es eine App ist? Ich kenn App´s nur als Taschenlampe und Co im Handy, der andere Teil der Ausführungseinheiten für den PC nennt sich Programm.
    Aber mal im Ernst. Wieso braucht man dazu eine App/Programm und führt das nicht in einem Brwoser aus?

  4. #4
    in Schwarz

    Moderator

    (Threadstarter)

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.476
    ngb:news Artikel
    69

    Re: SpardaSecureApp für PC und Mac potentiell unsicher

    Die Anwendung (engl. Application, kurzform App) hat nunmal App im Namen

    Naja, weil du im selben Browser die Überweisung tätigst. Du brauchst irgendwo noch einen weiter Faktor, der unabhängig vom ersten sein sollte. Dass dies bei einer schlecht programmierten Anwendung auf demselben PC nicht der Fall ist, ist eine andere Geschichte. TANs sind im Endeffekt auch nichts anderes als ein weiterer Faktor.
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  5. #5
    Board Kater Avatar von Cybercat
    Registriert seit
    Jul 2013
    Ort
    Ruhrpott
    Beiträge
    2.514

    Re: SpardaSecureApp für PC und Mac potentiell unsicher

    Ich ziehe dann lieber den TAN-Generator vor, der die Flacker-Balken scannt.
    Auch wenn das für Unterwegs eher unpraktisch ist.
    Für diesen Beitrag bedankt sich Chegwidden
    Ob eine schwarze Katze Unglück bringt oder nicht, hängt davon ab, ob man ein Mensch ist oder eine Maus.

  6. #6
    Hat sich hochgeschlafen-

    Moderator

    Avatar von Chegwidden
    Registriert seit
    Jul 2013
    Ort
    Dortmund
    Beiträge
    6.538
    ngb:news Artikel
    5

    Re: SpardaSecureApp für PC und Mac potentiell unsicher

    @Cybercat: Mach ich auch. Und mal ehrlich: welche Transaktion ist so sekundenwichtig, dass man's nicht erst Zuhause machen kann?

    Wenn einer meiner Kollegen mal eben das Handy zückt, drei- bis viermal tippt und sagt, dass er gerade flott was bezahlt hat,
    stellen sich meine Nackenhaare auf und ich bange um sein Gehalt und Erspartes

  7. #7
    in Schwarz

    Moderator

    (Threadstarter)

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.476
    ngb:news Artikel
    69

    Re: SpardaSecureApp für PC und Mac potentiell unsicher

    Gute: meist zahlt die Bank, wenn man ihre Apps verwendet. Leider hat man erst die Schererei.

    Ich sehe das nur ein, wenn ich länger im Urlaub bin.
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  8. #8
    Hat sich hochgeschlafen-

    Moderator

    Avatar von Chegwidden
    Registriert seit
    Jul 2013
    Ort
    Dortmund
    Beiträge
    6.538
    ngb:news Artikel
    5

    Re: SpardaSecureApp für PC und Mac potentiell unsicher

    Naja, wenn meine Miete, Gas und Strom erstmal nicht abgebucht werden können und ich mit vollem Einkaufswagen an der Kasse nicht zahlen kann,
    ist mir das relativ egal, ob die Bank das nach drölfzig Seiten Schadenaufnahmefall und weiteren neun Wochen übernimmt.

    Leider werden solche Sachen mit der mangelnden Sicherheit nur in Kreisen wie hier und anderen IT-affinen Bereichen besprochen.
    In normalen Nachrichten oder von den betroffenen Unternhehmen kommt für den Normal-Dummie nichts.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •