Sparkasse+ App überträgt ungefragt sensible Daten

Standard

Auf das rege Interesse bei Twitter hin, hier eine aktuelle Zusammenfassung.

Noch ein kurzer Hinweis an alle Zweifler und Verschwörungstheoretiker: Ihr könnt das alles selber nachvollziehen, ich bitte sogar ausdrücklich darum :-). Anleitungen dazu finden sich in diesem Post.

Kurzversion

Die Sparkasse+ App (aktuelle iOS-Version 2.4.1)

  • überträgt ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.
  • überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.
  • hat laut App-Beschreibung TÜV geprüfte Sicherheit:

Sparkasse+ kommuniziert über direkte, verschlüsselte Schnittstellen mit Ihrem Kreditinstitut und sorgt für einen sicheren Datentransfer nach den deutschen Vorgaben zum Online-Banking. Alle Daten werden verschlüsselt gespeichert. Der Zugriff auf die App ist durch ein von Ihnen ausgewähltes Passwort geschützt. Dank der Autolock-Funktion wird die App nach drei Minuten ohne Interaktion gesperrt. Ihre Finanzen sind damit bei Verlust Ihres iPhones maximal gesichert. Der TÜV bestätigt diese höchsten Sicherheitsstandards. 

Langversion

Bei der zufälligen Analyse des Netzwerktraffics der Sparkasse+ App mit Charles, ist mir aufgefallen, dass jedes Mal beim Start der App meine comdirect Benutzerkennung, alle Kontonummern und Kreditkartennummern an einen Server bei der StarFinanz übertragen werden. Nachdem ich weder in der App, noch in den Datenschutzbestimmungen oder in den AGBs etwas darüber gefunden habe, wendete ich mich mit folgendem Bild am Freitag morgen per Twitter an die @Sparkasse_de und die @starfinanz.

Darf ich freundlich fragen warum dieser #Datenhunger? Danke. #Sicherheit

Sparkasse+ App

Knapp 6 Stunden später wurde mir in einer ersten Stellungnahme der Sparkasse mitgeteilt, dass diese Fragen an die StarFinanz weitergeleitet werden.

Erste Antwort von der Sparkasse

Kurz darauf habe ich von einem Sparkassen Kunden ein Netzwerkprotokoll erhalten. Bei jeder Konten-Aktualisierung werden die kompletten Zugangsdaten inklusive PIN seiner Bank an einen weiteren Server der StarFinanz übertragen. Beim Aufruf der Serveradresse https://sfpa.starfinanz.de, an die diese Daten übertragen werden, erscheint die Standard-Installations Seite von Tomcat. Dies ist nicht gerade vertrauenserweckend, noch dazu ist die dort ausgewiesene Version 7.0.33 über ein Jahr alt und es bestehen diverse Sicherheitslücken. Die naheliegende Frage nach dem Warum habe ich dann wieder per Twitter an die Sparkasse weitergereicht.

Gerade eine Mail von einem Sparkassenkunden bekommen, leider wirft das eine neue Frage auf

Übertragung der kompletten Logindaten

Mehr als 24 Stunden später kam von der Sparkasse der Hinweis, dass vor Montag mit keiner Antwort zu rechnen ist.

Zweite Antwort der Sparkasse

 

Advertisements

Dem Netzwerk mit Charles auf der Spur

Standard

Nachdem das Interesse bzgl. der Software Charles recht hoch ist, hier ein paar gesammelte Links zum Thema.

Die 50$ sind m.E. definitiv gut angelegt. Die Software wird seit Jahren aktiv weiterentwickelt und läuft auf allen aktuellen Betriebssystemen.