Im Forum von Kuketz Blog kam eine Diskussion über die SpardaSecureApp für PC und Mac auf [1]. Neben einer SpardaSecureApp für Android bieten die Sparda-Banken noch eine Version für den PC an [2]. Durch die App werden u.a. Transaktionen freigegeben. Oder Wie Sparda beschreibt:
Überweisungen, Daueraufträge, Serviceaufträge und vieles mehr können Sie auch ganz ohne die Eingabe einer TAN auf Ihrem PC oder Mac freigeben. Die SpardaSecureApp PC ist die einfache und sichere Alternative.
Banking mit der SpardaSecureApp PC ist ganz einfach:
Freigabe von Transaktionen ohne TAN-Eingabe auf PC oder Mac
Wählen Sie Ihr eigenes Passwort für eine einfache Anmeldung
Höchste Sicherheit durch modernste Verschlüsselung
Wie viele Banken hat die Sparda eine Sicherheitslösung von Kobil gekauft. Das Ergebnis (erste Punkte gelten für Windows) liest sich nicht allzu erfreulich:
- App wird unsicher installiert
App wird im Appdata/Roaming Ordner des Benutzers installiert. In diesem Ordner können alle möglichen Programme und damit auch Malware die Anwendung manipulieren [3]. Gegen Manipulation bietet die App keinen besonderen Schutz und detektiert keinen Man in the Middle Angriff. - cURL aus dem Jahr 2013, zlib aus dem Jahr 2002
Die App verwendet fest cURL aus dem Jahr 2013, auch wenn schon neuere CVEs [4] ein Update nahelegen, wie CVE-2019-3822 [5]. Daneben stammt die zlib 1.1.4 aus dem Jahr 2002. Auch hier gibt es einige CVEs, die eine neuere Version nahelegen würden. - Cert Mismatch
Die SpardaSecureApp ruft den Host secureapp.sparda.de auf der IP 212.184.124.103 auf. SSL Labs wirft einen Cert Mismatch Fehler auf [6]. SSLScan wirft eine weitere Vulnerability aus [7]. - Absturz nach 24 Stunden
Die App stürzt reproduzierbar nach 24 Stunden ab, wegen fehlendem Exception Handling [8]. - Irreführende Fehlermeldungen
Passend dazu gibt es eine Fehlermeldung, dass Passwort sei falsch, wenn keine Internetverbindung herrscht. Exception Handling halt. - Systemlast und Programmierumgebung
Hohe Last bei geöffneter App passt zu den vorherigen Aspekten. Die Windows-Version wurde mit Borland Delphi 7.0.2.99 aus dem Jahr 2002 programmiert. Last Compile stammt aus dem Jahr 2014. Praktisch ist es vom Sicherheitsstandard eine Windows XP Software. - Updates
Theoretisch wären Updates über eine URL möglich. Die Update-Funktion ist jedoch nicht weiter beschrieben und könnte wie die PC-Wahl-Software ausfallen. - Mac-App
Der ursprüngliche Entwickler der Mac-Version heißt Lubomir Carik, hat laut LinkedIn wohl als Externer an der Entwicklung gearbeitet und man kann seine Pfadangaben überall im macOS Build finden. Copyright aus dem Jahr 2014, Last Compile im Jahr 2016, Installation durch ein Shellskript, welches ein Risiko für den Anwender ist. Für die veraltete Komponente QT in der Version 5.7.0 findet man auch einige CVEs.
Es ist durchaus möglich, dass weitere Probleme gefunden werden.
Quellen:
[1] https://forum.kuketz-blog.de/viewtopic.php?f=48&t=3494
[2] https://www.sparda.de/online-service-secureapp-pc/
[3] https://docs.microsoft.com/en-us/windows/uwp/design/app-settings/store-and-retrieve-app-data
[4] https://curl.haxx.se/docs/security.html
[5] https://www.securityfocus.com/bid/106950/info
[6] https://pics.jakobs.systems/uploads/big/685ee64fbcb1f85cc1b4e3aa64b06343.png
[7] https://pics.jakobs.systems/uploads/big/3c00917c3af7dac04d470b1ba09a0497.png
[8] https://pics.jakobs.systems/uploads/big/f74480ad3ed8915e9bf3262e5f51924d.png