Umfrage: Welche iOS-Banking Apps sollen wir uns anschauen?

Chatprotokoll

Ganz kurz in eigener Sache:
Wir planen nach der Resonanz auf den letzten Artikel, weitere Apps unter die Lupe zu nehmen. Da der Aufwand recht hoch ist, und es viele Banking Apps gibt, wollen wir von Euch wissen:

Welche Banking Apps sollen wir uns als nächstes vornehmen?

Die Umfrage läuft bis Ende des Monats. Danke.

FinanzAssist: Die sicherste Banking App…

Standard

FinanzAssist ist also die sicherste Banking App. Und dazu noch kostenlos. Das ist eine Aussage, die eine gründliche Überprüfung fordert.

Kurzfassung: Da nimmt jemand den Mund ganz schön voll!

  • Sämtliche Bankdaten inklusive PIN/TAN laufen über einen Server von cosmosdirekt.
  • Angriff via SSL Man in the Middle ist möglich.
  • Die Finanzdaten werden im Klartext oder Base64 kodiert, also unverschlüsselt übertragen.
  • Es kommen vier verschiedene Systeme (Intelliad, Visual Website Optimizer, Webtrekk und Nuggad) zum Analysieren des Benutzerverhaltens zum Einsatz. Um dies zu unterbinden, muss der Kunde aktiv werden, ansonsten wird fröhlich ausgewertet.
  • Es werden mehrfach Server von buhl-data kontaktiert, die Software basiert auf FinanzBlick und hat offensichtlich noch technische Abhängigkeiten zu buhl-data.

Toll das man sich in der App für 7,90€ jährlich gegen Missbrauch seiner Finanzen schützen kann. Aber nicht gegen das Auswerten seines Verhaltens und seiner Finanzdaten? Und das ganze wieder einmal von einem strengen TÜV geprüft, diesmal TÜV Rheinland und nicht TÜV Saarland.

Aber der Reihe nach:

Getestet wurde von mir die aktuelle iOS App Store Version 1.0.0 von FinanzAssist vom 01.11.2014.

Anders als bei anderen Banking Apps, die direkt mit der Bank kommunizieren, läuft hier alles über den Server finanzassist.cosmosdirekt.de bzw. http://www.cosmosdirekt.de. Im Klartext: Die Zugangsdaten, also auch PIN und TAN werden an CosmosDirekt übertragen, der Abruf der Bankdaten geschieht von dort aus. Dies verstößt in der Regel bei allen mir bekannten Banken gegen deren AGBs.

Es ist kein Problem mit einem eigenen Root-CA Zertifikat und z.B. Charles oder Burp Suite den SSL Traffic mittels Man-in-the-Middle* zu entschlüsseln. Auf technische Maßnahmen dies zu unterbinden, wurde bei der „sichersten Banking App“ offensichtlich verzichtet.

*Für die technisch Versierten: Es ist klar das dazu erstmal das Zertifikat auf ein Gerät gebracht werden muss. Allerdings ist dies nicht das große Hindernis. Technisch gibt es Mittel und Wege (SSL Pinning) das Mithören komplett zu unterbinden.
finanzassi1

Ein kleiner Teil des SSL entschlüsselten Traffics von FinanzAssist…

Wer sich damit abfinden kann, gegen seine Bank AGBs zu verstoßen und seine Finanzdaten über die Server einer Versicherung laufen zu lassen, der würde von der „sichersten Banking App“ zumindest erwarten, dass die Finanzdaten zusätzlich verschlüsselt werden. Selbst dass hält man offensichtlich bei FinanzAssist nicht für nötig.

So wird die PIN am iOS Gerät abgefragt und dann unverschlüsselt an den Server der comosdirekt übertragen.

finanzassi2

Schön meine PIN wird im Klartext übertragen…

Man macht sich auch nicht die Mühe, die an die App gesendeten Daten in irgendeiner Form zu verschlüsseln. Egal ob Umsatzdaten oder Kontostände.

finanzassi3

Aber das ist nicht alles…

Wie eingangs schon erwähnt kommen mehrere User-Tracking Systeme zum Einsatz. Wozu das ganze? Marketing – also wo und wann muss ich den „Kaufen“ Button hinsetzen, damit Ihn möglichst viele anklicken.

finanzassi4

Jeder Klick wird protokolliert. Ob dieser Anwender sich so verhält wie gewünscht 😉 ?

Die Beschreibungen der jeweiligen Dienstleister bringen es ganz gut rüber, wer sich einlesen will, bitte sehr:

https://vwo.com/
http://nuggad.net/de/
http://www.intelliad.de/
http://www.webtrekk.com/de/home.html

Wenn Ihr das Tracking nicht wollt, müsst Ihr dafür aber selbst sorgen. Wäre mal interessant, ob das in Deutschland überhaupt erlaubt ist. (Falls ein Anwalt sich dazu äußern kann: securityhandle at posteo.de, Danke!)

Dazu in den AGBs (Stand 14.11.2014) die wichtigen Stellen habe ich markiert.

1. Dienstleister für Webanalyse und Widerspruchsmöglichkeit (Opt-out)
Für statistische Auswertungen bedienen wir uns der Technologien folgender Anbieter:

Webtrekk GmbH, Boxhagener Str. 76-78, 10245 Berlin
http://www.webtrekk.de
Die Webtrekk GmbH wurde im Bereich Datenschutz vom TÜV Saarland zertifiziert. Insbesondere wurde hierbei die Erfassung und Verarbeitung von Tracking-Daten auf Datenschutzkonformität und Datensicherheit überprüft und zertifiziert.

Der Datenerhebung und -speicherung durch Webtrekk kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Hierzu rufen Sie bitte folgenden Link auf: http://www.webtrekk.com/index/datenschutzerklaerung/opt-out.html

Bei der Nutzung der mobilen FinanzAssist-App ist ein zusätzlicher Widerspruch über die Einstellungen innerhalb der App notwendig.

intelliAd Media GmbH, Sendlinger Str. 7, 80331 München
http://www.intelliad.de
intelliAd ist ein Unternehmen der Deutschen Post und ISO-zertifiziert.

Der Datenerhebung und -speicherung durch IntelliAd kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Hierzu rufen Sie bitte folgenden Link auf: http://login.intelliad.de/optout.php

AdClear Gmbh, Torstraße 106, 10119 Berlin
http://www.adclear.de
Die AdClear GmbH ist für Datenschutz im Bereich Kampagnentrackingsysteme vom TÜV Saarland zertifiziert. Der Datenerhebung und -speicherung durch AdClear kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Hierzu rufen Sie bitte folgenden Link auf: http://www.adclear.de/service/adclear-opt-out/?advid=A2623155

2. Wie funktioniert der Widerspruch bzw. die Deaktivierung über den Link?
Durch Bestätigung der Links wird auf Ihrem Datenträger ein sogenannter Opt-out-Cookie gesetzt. Bitte beachten Sie, dass bei einem Löschen sämtlicher Cookies auf Ihrem Rechner/Endgerät auch diese Opt-out-Cookies gelöscht werden, d.h., dass Sie erneut die Opt-out-Cookies setzen müssen, wenn Sie weiterhin dieser Form der Datenerhebung widersprechen wollen. Die Opt-out-Cookies sind pro Session, Browser und Rechner/Endgerät gesetzt und müssen daher für jede Session, jeden Browser, Rechner und jedes Endgerät gesondert aktiviert werden.

Komischerweise tauchen Nuggad und VWO dort nicht auf. Vielleicht vergessen? Oder gibt es dafür keinen Opt-out?

Aber die AGBs haben noch mehr zu bieten:

1. Webbanking
FinanzAssist ermöglicht Ihnen die Durchführung von Online-Banking über den FinanzAssist-Server (Webbanking). Wenn Sie Webbanking nutzen, werden die erforderlichen Daten (insbesondere Ihre Kennung, PIN / ggf. TAN, Konto-Nr. des Empfängers und Verwendungszweck) zunächst verschlüsselt an den FinanzAssist-Server und von dort (nach technisch erforderlicher vorrübergehender Entschlüsselung im Arbeitsspeicher (RAM) des FinanzAssist-Servers) verschlüsselt an Ihre Bank übertragen. Die Buchungsdaten werden anschließend verschlüsselt von Ihrer Bank zurück an den FinanzAssist-Server übertragen und dort verschlüsselt gespeichert. Auch während der vorübergehenden Entschlüsselung im Arbeitsspeicher (RAM) des FinanzAssist-Servers hat CosmosDirekt zu keinem Zeitpunkt Zugriff auf diese Daten.

So heißt es dort, dass die PIN etc. verschlüsselt an den Server übertragen werden. Unter verschlüsselt verstehe ich mehr als nur den Transportweg (SSL) zu verschlüsseln. Das wäre wie wenn ich meine Zugangsdaten samt PIN im Klartext dem Postboten in ein Kuvert lege, und Ihn bitte es nicht aufzumachen.

CosmosDirekt hat also zu keinem Zeitpunkt Zugriff auf meine Finanzdaten. Interessant.

So heißt es in den AGBs unter Paragraph II Absatz 4:

4. Kategorienfeedback
Wenn Sie zur Verbesserung von FinanzAssist beitragen möchten, können mit Ihrem Einverständnis Informationen zu den von Ihnen kategorisierten Buchungen verschlüsselt an den FinanzAssist-Server gesendet werden. Diese beinhalten den Verwendungszweck, den Empfänger inkl. Bankverbindung, Art und Betrag der Buchung, den Kontotyp, das Datum sowie die jeweilige Kategorie. Diese Daten werden von CosmosDirekt ausschließlich zur Verbesserung der Kategorisierung automatisiert verarbeitet und werden von uns nicht an Dritte weitergegeben. Sollten Sie Ihre Meinung später ändern, so können Sie Ihre Einwilligung jederzeit und mit sofortiger Wirkung unter Einstellungen->Feedback->Kategorie-Feedback widerrufen.

Schön. „Die Daten auf die wir eigentlich keinen Zugriff haben, werden also nicht an Dritte weitergegeben. Und natürlich werden wir die Daten auch nicht für unsere Zwecke auswerten.“

Wieviel Naivität man braucht man, um das alles zu glauben?

Das die Software von FinanzBlick abstammt, also von Buhl-Data kommt sieht der ein oder andere auf den ersten Blick. Erstaunlich ist aber, dass eine Referenz auf Buhl-Data und deren Server erhalten bleibt.

finanzassi5

Buhl-Data ist mit von der Partie

Auch wenn hier nur Konfigurationsdaten abgeholt werden,

finanzassi6

Was man wohl noch alles konfigurieren kann…

wäre es toll, wenn zum einen ein Server bei cosmosdirekt verwendet werden würde (Zuständigkeiten Security/Wartung?) und zum anderen die Server von buhl-data (also FinanzBlick) besser abgesichert wären.

finanzassi7

Setzen 6!

https://www.ssllabs.com/ssltest/analyze.html?d=update.buhl%2dfinance.com

finanzassi8

Poodle? Das sind doch diese Hunde mit den Locken… oder?

https://www.ssllabs.com/ssltest/analyze.html?d=update3.buhl%2ddata.com

Fazit:

Unter den zertifizierenden Augen des TÜVs („Datenschutz geprüft“) ist es also möglich mit der „sichersten Banking-App“ FinanzAssist:

  • seine Finanz(zugangs)daten nur SSL-verschlüsselt und ungeschützt gegen Man-In-The-Middle Angriffe im Klartext durch das Internet an einen Dritten zu schicken und damit gegen die AGBs der Banken zu verstoßen.
  • das Kundenverhalten zu erfassen, wenn dieser nicht, sofern möglich, nachtraglich und aufwendig dagegen Einspruch erhebt.
  • Server zu verwenden, die unterirdisch schlechte SSL Verbindungen zulasssen und damit weitere Angriffe möglich machen?

Hatte ich bereits erwähnt, dass die „sicherste Banking App“ auch auf Android läuft? Ab Android 2.3:

Welche Android-Version unterstützt die FinanzAssist-App?

Die FinanzAssist-App wurde für eine Vielzahl von verschiedenen Smartphones und Android-Versionen getestet. Zu Ihrer eigenen Sicherheit empfehlen wir Ihnen, immer die aktuellste Android-Version zu benutzen, da diese von Google mit sicherheitsrelevanten Updates unterstützt wird.

Die App wurde auf Geräten mit 4.x fehlerfrei getestet. Wir ermöglichen auch eine Rückwärtskompatibilität ab Version 2.3, allerdings kann es hier zu Einschränkungen im Nutzungserlebnis kommen.

Na dann mal schnell die letzte Version von Android einspielen, sofern möglich 🙂

Hoffentlich wird die Versicherung gegen Schadensfälle nicht zum Verlustgeschäft für die cosmosdirekt…