Sparkasse+ App überträgt ungefragt sensible Daten

Standard

Auf das rege Interesse bei Twitter hin, hier eine aktuelle Zusammenfassung.

Noch ein kurzer Hinweis an alle Zweifler und Verschwörungstheoretiker: Ihr könnt das alles selber nachvollziehen, ich bitte sogar ausdrücklich darum :-). Anleitungen dazu finden sich in diesem Post.

Kurzversion

Die Sparkasse+ App (aktuelle iOS-Version 2.4.1)

  • überträgt ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.
  • überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.
  • hat laut App-Beschreibung TÜV geprüfte Sicherheit:

Sparkasse+ kommuniziert über direkte, verschlüsselte Schnittstellen mit Ihrem Kreditinstitut und sorgt für einen sicheren Datentransfer nach den deutschen Vorgaben zum Online-Banking. Alle Daten werden verschlüsselt gespeichert. Der Zugriff auf die App ist durch ein von Ihnen ausgewähltes Passwort geschützt. Dank der Autolock-Funktion wird die App nach drei Minuten ohne Interaktion gesperrt. Ihre Finanzen sind damit bei Verlust Ihres iPhones maximal gesichert. Der TÜV bestätigt diese höchsten Sicherheitsstandards. 

Langversion

Bei der zufälligen Analyse des Netzwerktraffics der Sparkasse+ App mit Charles, ist mir aufgefallen, dass jedes Mal beim Start der App meine comdirect Benutzerkennung, alle Kontonummern und Kreditkartennummern an einen Server bei der StarFinanz übertragen werden. Nachdem ich weder in der App, noch in den Datenschutzbestimmungen oder in den AGBs etwas darüber gefunden habe, wendete ich mich mit folgendem Bild am Freitag morgen per Twitter an die @Sparkasse_de und die @starfinanz.

Darf ich freundlich fragen warum dieser #Datenhunger? Danke. #Sicherheit

Sparkasse+ App

Knapp 6 Stunden später wurde mir in einer ersten Stellungnahme der Sparkasse mitgeteilt, dass diese Fragen an die StarFinanz weitergeleitet werden.

Erste Antwort von der Sparkasse

Kurz darauf habe ich von einem Sparkassen Kunden ein Netzwerkprotokoll erhalten. Bei jeder Konten-Aktualisierung werden die kompletten Zugangsdaten inklusive PIN seiner Bank an einen weiteren Server der StarFinanz übertragen. Beim Aufruf der Serveradresse https://sfpa.starfinanz.de, an die diese Daten übertragen werden, erscheint die Standard-Installations Seite von Tomcat. Dies ist nicht gerade vertrauenserweckend, noch dazu ist die dort ausgewiesene Version 7.0.33 über ein Jahr alt und es bestehen diverse Sicherheitslücken. Die naheliegende Frage nach dem Warum habe ich dann wieder per Twitter an die Sparkasse weitergereicht.

Gerade eine Mail von einem Sparkassenkunden bekommen, leider wirft das eine neue Frage auf

Übertragung der kompletten Logindaten

Mehr als 24 Stunden später kam von der Sparkasse der Hinweis, dass vor Montag mit keiner Antwort zu rechnen ist.

Zweite Antwort der Sparkasse

 

Advertisements

8 Gedanken zu “Sparkasse+ App überträgt ungefragt sensible Daten

  1. sogehtbanking

    Hi,

    spitzen Beitrag, den du hier veröffentlicht hast. Da das Thema überaus interessant ist, hoffe ich inständig darauf, dass du die anderen namhaften Onlinebanking Apps auch noch prüfen wirst!

    Bin gespannt, wie das mit Starfinanz weitergeht.

    Bei jeder Konten-Aktualisierung werden die kompletten Zugangsdaten inklusive PIN seiner Bank an einen weiteren Server der StarFinanz übertragen.

    Da die Daten im Screenshot im Klartext zu lesen sind: gehe ich korrekt der Annahme, dass diese unverschlüsselt gesendet werden und nur die https-Verbindung einen möglichen Missbrauch unterbindet?!
    Stelle ich mir da gerade die Angriffsmöglichkeit in öffentlichen Netzwerken (Flughafen, Hotel, etc.) zu leicht vor?

    • Ja die Übertragung stützt sich rein auf HTTPS. Das gleiche gilt aber auch für die HBCI Verbindung – eine zusätzliche Verschlüsselung der Nutzdaten findet nicht statt. Ich bleibe an dem Thema dran 🙂

  2. kunststein

    die haben wohl bei starfinanz reagiert. ich bekomme hier nicht mehr die konfigurationsoberfläche zu sehen wenn ich deren website aufrufe (OSX 10.9.3 FF, safari, opera). vielleicht sollte das thema höher aufgehangen werden – heise security oder den datenschutzbeauftragten des landes – damit die sich bewegen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s