• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Technik] SpardaSecureApp für PC und Mac potentiell unsicher

atm-573478_960_720.jpg

Im Forum von Kuketz Blog kam eine Diskussion über die SpardaSecureApp für PC und Mac auf [1]. Neben einer SpardaSecureApp für Android bieten die Sparda-Banken noch eine Version für den PC an [2]. Durch die App werden u.a. Transaktionen freigegeben. Oder Wie Sparda beschreibt:

Überweisungen, Daueraufträge, Serviceaufträge und vieles mehr können Sie auch ganz ohne die Eingabe einer TAN auf Ihrem PC oder Mac freigeben. Die SpardaSecureApp PC ist die einfache und sichere Alternative.

Banking mit der SpardaSecureApp PC ist ganz einfach:
Freigabe von Transaktionen ohne TAN-Eingabe auf PC oder Mac
Wählen Sie Ihr eigenes Passwort für eine einfache Anmeldung
Höchste Sicherheit durch modernste Verschlüsselung

Wie viele Banken hat die Sparda eine Sicherheitslösung von Kobil gekauft. Das Ergebnis (erste Punkte gelten für Windows) liest sich nicht allzu erfreulich:

  1. App wird unsicher installiert
    App wird im Appdata/Roaming Ordner des Benutzers installiert. In diesem Ordner können alle möglichen Programme und damit auch Malware die Anwendung manipulieren [3]. Gegen Manipulation bietet die App keinen besonderen Schutz und detektiert keinen Man in the Middle Angriff.
  2. cURL aus dem Jahr 2013, zlib aus dem Jahr 2002
    Die App verwendet fest cURL aus dem Jahr 2013, auch wenn schon neuere CVEs [4] ein Update nahelegen, wie CVE-2019-3822 [5]. Daneben stammt die zlib 1.1.4 aus dem Jahr 2002. Auch hier gibt es einige CVEs, die eine neuere Version nahelegen würden.
  3. Cert Mismatch
    Die SpardaSecureApp ruft den Host secureapp.sparda.de auf der IP 212.184.124.103 auf. SSL Labs wirft einen Cert Mismatch Fehler auf [6]. SSLScan wirft eine weitere Vulnerability aus [7].
  4. Absturz nach 24 Stunden
    Die App stürzt reproduzierbar nach 24 Stunden ab, wegen fehlendem Exception Handling [8].
  5. Irreführende Fehlermeldungen
    Passend dazu gibt es eine Fehlermeldung, dass Passwort sei falsch, wenn keine Internetverbindung herrscht. Exception Handling halt.
  6. Systemlast und Programmierumgebung
    Hohe Last bei geöffneter App passt zu den vorherigen Aspekten. Die Windows-Version wurde mit Borland Delphi 7.0.2.99 aus dem Jahr 2002 programmiert. Last Compile stammt aus dem Jahr 2014. Praktisch ist es vom Sicherheitsstandard eine Windows XP Software.
  7. Updates
    Theoretisch wären Updates über eine URL möglich. Die Update-Funktion ist jedoch nicht weiter beschrieben und könnte wie die PC-Wahl-Software ausfallen.
  8. Mac-App
    Der ursprüngliche Entwickler der Mac-Version heißt Lubomir Carik, hat laut LinkedIn wohl als Externer an der Entwicklung gearbeitet und man kann seine Pfadangaben überall im macOS Build finden. Copyright aus dem Jahr 2014, Last Compile im Jahr 2016, Installation durch ein Shellskript, welches ein Risiko für den Anwender ist. Für die veraltete Komponente QT in der Version 5.7.0 findet man auch einige CVEs.

Es ist durchaus möglich, dass weitere Probleme gefunden werden.

Quellen:
[1] https://forum.kuketz-blog.de/viewtopic.php?f=48&t=3494
[2] https://www.sparda.de/online-service-secureapp-pc/
[3] https://docs.microsoft.com/en-us/windows/uwp/design/app-settings/store-and-retrieve-app-data
[4] https://curl.haxx.se/docs/security.html
[5] https://www.securityfocus.com/bid/106950/info
[6] https://pics.jakobs.systems/uploads/big/685ee64fbcb1f85cc1b4e3aa64b06343.png
[7] https://pics.jakobs.systems/uploads/big/3c00917c3af7dac04d470b1ba09a0497.png
[8] https://pics.jakobs.systems/uploads/big/f74480ad3ed8915e9bf3262e5f51924d.png
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
  • Thread Starter Thread Starter
  • #2
Ich war jetzt doch mal neugierig, auch wenn ich von solchen Apps - egal ob für PC oder Smartphone - wenig halte. Bei Einstellungen kann die Proxy-Einstellungen ändern. Dabei werde ich gebeten die IP und Port meines Internet Explorers (!) einzugeben. Ähm, ja, nö.
 

Jan_de_Marten

Aktiver NGBler

Registriert
14 Juli 2013
Beiträge
1.106
Hmmmm sicher das es eine App ist? Ich kenn App´s nur als Taschenlampe und Co im Handy, der andere Teil der Ausführungseinheiten für den PC nennt sich Programm.
Aber mal im Ernst. Wieso braucht man dazu eine App/Programm und führt das nicht in einem Brwoser aus?
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
  • Thread Starter Thread Starter
  • #4
Die Anwendung (engl. Application, kurzform App) hat nunmal App im Namen :unknown:

Naja, weil du im selben Browser die Überweisung tätigst. Du brauchst irgendwo noch einen weiter Faktor, der unabhängig vom ersten sein sollte. Dass dies bei einer schlecht programmierten Anwendung auf demselben PC nicht der Fall ist, ist eine andere Geschichte. TANs sind im Endeffekt auch nichts anderes als ein weiterer Faktor.
 

Cybercat

Board Kater

Registriert
21 Juli 2013
Beiträge
9.064
Ort
Ruhrpott
Ich ziehe dann lieber den TAN-Generator vor, der die Flacker-Balken scannt.
Auch wenn das für Unterwegs eher unpraktisch ist.
 

Chegwidden

Hat sich hochgeschlafen-
Teammitglied

Registriert
14 Juli 2013
Beiträge
20.994
Ort
Dortmund
@Cybercat: Mach ich auch. Und mal ehrlich: welche Transaktion ist so sekundenwichtig, dass man's nicht erst Zuhause machen kann?

Wenn einer meiner Kollegen mal eben das Handy zückt, drei- bis viermal tippt und sagt, dass er gerade flott was bezahlt hat,
stellen sich meine Nackenhaare auf und ich bange um sein Gehalt und Erspartes ;)
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
  • Thread Starter Thread Starter
  • #7
Gute: meist zahlt die Bank, wenn man ihre Apps verwendet. Leider hat man erst die Schererei.

Ich sehe das nur ein, wenn ich länger im Urlaub bin.
 

Chegwidden

Hat sich hochgeschlafen-
Teammitglied

Registriert
14 Juli 2013
Beiträge
20.994
Ort
Dortmund
Naja, wenn meine Miete, Gas und Strom erstmal nicht abgebucht werden können und ich mit vollem Einkaufswagen an der Kasse nicht zahlen kann,
ist mir das relativ egal, ob die Bank das nach drölfzig Seiten Schadenaufnahmefall und weiteren neun Wochen übernimmt.

Leider werden solche Sachen mit der mangelnden Sicherheit nur in Kreisen wie hier und anderen IT-affinen Bereichen besprochen.
In normalen Nachrichten oder von den betroffenen Unternhehmen kommt für den Normal-Dummie nichts.
 
Oben