Mangelnde Sicherheit: iControl-Entwickler kennt sich nicht aus

Wir sind wahrlich keine Sicherheitsexperten, vertrauen in diesem Fall aber den Experten von heise online. Es geht um iControl (iPhone/iPad).

Die Banking-App hatten wir zuletzt vor ein paar Wochen in den News, damals gab es eine Preisreduzierung auf 79 Cent. Mittlerweile kosten beide iControl-Apps für das iPhone und iPad wieder 4,99 Euro, trotzdem wollen wir euch Erkenntnisse der Kollegen von heise online nicht vorenthalten.


Mittlerweile hat der Entwickler Tuong Hoang die Sicherheitslücke aus der Version 2.4.4 zwar mit einem Update behoben, bedenklich ist die ganze Geschichte aber schon. In der Vorgängerversion wurde das Zugangspasswort im Klartext auf dem Gerät gespeichert. Schon zuvor war das Programm in einem Sicherheitstest negativ aufgefallen.

Der Entwickler hat nun selbst zugegeben, dass er sich in Sicherheitsfragen nicht wirklich auskennen würde. Das stimmt uns schon etwas bedenklich: Warum kommt man auf die Idee, eine Banking-App zu entwickeln, wenn man sich nicht 100-prozentig mit der Sicherheit auskennt?

Wer ab und zu auch mit dem iPhone oder iPad seinen Kontostand überprüfen will oder auch mal eine Überweisung tätig, sollte daher lieber zu iOutBank greifen. Entwickler Tobias Stöger schreibt Sicherheit groß und lässt seine Apps sogar extern prüfen. Eine totale Sicherheit gibt es so natürlich auch nicht, wir halten das aber für die deutlich bessere Alternative. iOutbank kostet 6,99 und 9,99 Euro (iPhone/iPad).

Hinweis: Dieser Artikel enthält Affiliate-Links. Bei Käufen über diese Links erhalten wir eine Provision, mit dem wir diesen Blog finanzieren. Der Kaufpreis bleibt für euch unverändert.

Anzeige

Kommentare 47 Antworten

    1. dich bekomms leider nicht hin meine kontodaten abzurufen da die ersten 5 zeichen meiner pin gefordert werden, die hat aber nur 4…

      1. Du sollt ja auch nicht die Pin eingeben, mit der Du Geld vom Automaten holst.
        Denn die wird NUR am Automaten verwendet.
        Nirgend wo sonst.
        Sondern Du sollst da das Passwort angeben das Du benutzt wenn Du Dich am Computer anmeldest wenn Du z.B Onlineüberweisungen tätigst.

        1. ich will keine überweisungen tätigen sondern eig nur meinen kontostand checken, wenn och dafür ne extra pin brauch kann ich die app auch wieder löschen

          1. die 4 stellige PIN geht nur in Verbindung mit dem Apple-Moneyprinter Adapter fürs IPad. damit kannst Du dann direkt Geld vom Konto abheben. 😉
            und die ernsthafte Antwort: Du musst dein Girokonto für onlinebanking freischalten lassen dann hast du PIN u TAN o HBCI o SmartCard o SMSTAN oder oder oder…

  1. Au ja!

    Ich versuche dann auch mal zu programmieren und Geld zu kassieren.

    Als Gimmick steht das Kennwort dann im Bildschirmschoner 😀

  2. Am sichersten wird es wohl sein, den Online Login Screen, der jewiligen Bank zum Home Bildschirm dazu zu fügen und sich über die ofizielle Seite, ins Online Konto einzuloggen! Software birgt seit eh und je Sicherheitslücken.., selbst bei den führenden Software Giganten.

    1. Stimmt!
      Es gibt immer irgendjemanden der schlauer ist und z.B. Die beste sicherheitssoftware umgehen kann!

      Einziger schutz-> keine internet-verbindung;)

      …aber ich kann ja nich ohne facebook und co leben 😉

  3. Find ich is echt ne sauerei… Ich bin selbst Bankkaufmann und Sicherheit und Datenschutz ist Bankern sowieso heilger als die Bibel. Aber so das Vertrauen einiger Gutgläubiger Kunden zu missbrauchen geht einfach mal gar nicht. Ich bleibe weiterhin bei IOutBank, ist ein super App welches zudem sogar ein TÜV Zertifikat besitzt. Und in Fragen Sicherheit auch durch meinen Arbeitgeber schon ordentlich durch die Mangel genommen wurde und es wurden keinerlei bedenken diesbzgl. festgestellt. Ich habe damals bei der Gratis Aktion zugegriffen aber selbst bei dem relativ teuren Preis von 6,99 € (IPhone) jeden cent Wert. Desweiteren in Sachen Ebanking immer auf den neusten Stand(!) Ich kann das App nur jeden unentschlossenen empfehlen. Zumindest demjenigen der Wert darauf legt das seine Online Konten bestens geschützt und trotzdem den vollen Service erhalten wollen.

    1. Hat dein AG Paypal in die Mangel genommen? Bei einem letzten anruf dazu wusste man nicht ueber den dienst/ Bank bescheid. Bei einem anderen Besuch nur private erfahrung.

      Ich erwarte von einer bank Sicherheit, Kompetenz und aktualitaet. Sie Wirtschaftet mit meinem Geld. Ebenso verdient sie daran, wenn ich ihr treu bleibe.

      Gib die Frage „kennen und koennen wir ueber Paypal informieren?“ gerne weiter.

      1. Das weiß ich leider nicht ob mein AG schonmal paypal getestet hat. Aus persönlicher Erfahrung kann ich allerdings nicht sonderlich viel gutes über paypal berichten. Desweiteren gab es auch schon zu genüge kritik (wenn ich mich recht erinnere) an dem Unternehmen paypal

        Ob du deiner Bank vertrauen kann liegt natürlich zum einem bei welchen Kreditinstitut du Kunde bist, desweiteren nach welcher Unternehmensphilosophie dein KI handelt. Natürlich verucht eine Bank mit dem Geld zu wirtschaften welches es zur Verfügung hat, aber macht das nicht jedes Unternehmen?! Sonst könnte glaube ich bald jedes Gewerbe in Deutschland Insolvenz anmelden. Wenn keiner mehr seiner Bank vertrauen würde, geht es ganz schnell bergab mit unserer Wirtschaft (aus eigener Erfahrung siehe 2008)

        Naja bevor das ganze jetzt in ausartet, mein Bezug in Sachen Sicherheit sollte ausschließlich auf das app IOutBank pro beziehen nicht auf irgendwelche Banke, Kreditinstitute oder Fondsgesellschaften, wo es (wie ihr sicherlich alle wisst) genügend schwarze Schafe gibt. Ich halte es aber für gefährlich und fahrlässig alle unter einem Kamm zu scheren. Denn Banken stehen für stabilität und Sicherheit falls das irgendwann nicht mehr der fall sein sollte können wir alle wieder mit murmeln und bunten perlen unser brot bezahlen.

        1. Kann es sein, daß Du für stoegerIT arbeitest oder zumindest Geld von denen bekommst? Deine Lobhudelei für iOutBank ist ja schon auffällig…
          Ob ein TÜV-Zertifikat eine echte Qualitätsaussage ist, kann man auch bezweifeln. Ein Zertifikat kann jeder Depp ausstellen, der TÜV ist bekannt dafür, daß die für Geld fast alles machen… Ist Dir schon einmal aufgefallen, wieviele vom TÜV auf Sicherheit geprüfte und für gut befundene Artikel (z.B. Spielzeuge, Kindersitze etc. ) sich bei anderen, neutralen Tests als mangelhaft erwiesen haben?
          Aber egal, ich habe auch iOutBank in Benutzung, finde aber bspw. Starmoney bzw. die Sparkassen-App besser.
          Ach ja, und ich bin auch Bankkaufmann und habe tiefe Einblicke in Sicherheitsthemen beim Electronic Banking…

          1.  Ich arbeite für keines der Unternehmen, in Sachen Sicherheit war ich mir da einfach am besten aufgehoben.(und das nicht nur wegen dem Tüv siegel, lies dir doch einfach mal die diversen (unabhängigen) testberichte durch und wirst vielleicht merken was ich meine 😉 Die anderen Apps die du eben aufgezählt hast kenne ich persönlich nicht. Ein nachteil bei der sparkassen app ist sicherlich das du sparkassen kunde sein musst um diese zu nutzen.

            Und danke ich kenne mich auch ganz gut in sachen E Banking aus 

      2. Zudem weiß ich nicht bei welchen Kreditintiut du bist, aber normalerweise sollte jede Bank den (größten) Bargeldlosen Zahlungsdienst Paypal kennen…. Also schon ein bisschen ominös das ganze…

        Also ich habe mich eben nochmal schlau gemacht, allerdings konnte ich keinen Testbericht über Paypal in unserem Intranet finden. Aber generell ist es wohl einfach Geschmacks und Vertrauenssache wem man sein Geld anvertraut.

        1. Jaja, wer lesen kann ist klar im Vorteil… von Paypal habe ich gar nichts geschrieben… Selbstverständlich kenne ich die, sehr gut sogar, schließlich wickeln die ihren Zahlungsverkehr ausschließlich über uns ab… Paypal ist übrigens eine 100%-Tochter von eBay, deshalb auch die enge Verzahnung mit dem Auktionshaus.
          StoegerIT ist für mich kein vertrauensvoller Geschäftspartner, eher so eine Art Startup, die auf das falsche Pferd gesetzt haben und nun versuchen, doch noch Boden zu gewinnen. Naja, jeder muss ja selbst wissen, wem er seine Daten anvertraut, mir ist da Starmoney wesentlich lieber, die haben seit vielen Jahren Erfahrung und sind im Onlinebanking recht weit vorne. Übrigens wird Starmoney von den meisten Banken vertrieben, das mag wohl auch einen Grund haben….

          1. Eben wer lesen kann ist klar im vorteil du sagst es. Dann hättest du bestimmt auch gemerkt das die paypal antwort nicht an dich sondern an deinen vorredner bestimmt war. Wie gesagt mit den anderen apps habe ich keine erfahrung. Von daher kann ich weder für noch gegen sie sprechen. Ioutbank ist sicherlich nicht die schlechteste app, das sie die aller aller beste ist habe ich auch nie behauptet. Eine 100% ige sicherheit wird uns wohl keines der unternehmen garantieren können. Von daher ist meiner meinung nach online banking nach wie vor geschmackssache, es ist bequem und einfach aber garantieren kann niemand etwas (auch kein tüv) von daher drauf

      3. Was hat Paypal mit einer Bank gemein. Nichts. Hier sollte man sein Geld nicht hinbringen. Das ist der Grund warum Banken sich nicht mit dieser Firma auskennen sollten und müssen. Sie sollten höchstens vor dieser Firma warnen.

        1. Was Paypal mit einer Bank gemein hat? Ich zitiere Wikipedia: „Am 2. Juli 2007 wechselte PayPal seinen Status in Europa zu einer Bank, nachdem es von der luxemburgischen Bankbehörde eine Banklizenz für Europa erhalten hatte.“
          Paypal IST also eine Bank!

          1. Hubs. Da sieht man mal das man sich seit schlechter Erfahrung in 2005 nicht mehr mit dieser Firma beschäftig hat. Also heißt es nun „blöde Bank“ und nicht mehr „blöde Firma“. Danke für die Info.

    2. Ich finde auch das iOutbank bisher die beste App ist für Banking Angelegenheiten übers Handy. Nutze Outbank schon seit Jahren und hatte es auch schon auf meinem Nokia. Super App und super Service.

    1. Wenn die Sparkasse sie schon lizensiert und anbietet, wird die App schon sicher sein. Bei jeglichen Bedenken, sprich doch bei nächster Gelegenheit einen Sparkassen Angestellten an.., ansonsten, siehe meinen Kommentar oben, jedoch nicht der „TAN Kommentar“ 😉

      1. „sprich doch mal bei nächster Gelegenheit einen Sparkassen Angestellten an..“ < der war echt gut. Die Damen und Herren hinter den Schaltern sind ja oft nicht mal fähig einem Rentner, der hilflos am Überweisungsterminal steht, weiter zu helfen.

  4. Vielleicht auch mal die anderen Optionen wie S-Banking http://itunes.apple.com/de/app/s-banking-mobile-banking-mit/id320596872?mt=8 oder StarMoney http://itunes.apple.com/de/app/starmoney-mobile-banking-fur/id421831717?mt=8 ins Auge fassen. Ich denke mal, dass die Damen und Herren sich wirklich auskennen, was Sicherheit angeht. Denn die Sparkassen werden auf sicher nicht „irgendwen“ für ihre zig Kunden entwickeln lassen. Zumal es ja ein Trugschluss ist, dass diese oben genannten Apps NUR für Sparkassenkunden funktionieren. Sie bieten den gleichen Umfang wie iOutbank auch. Sonst wären es ja keine Multibanking-Apps 😉 Nutze ich für Sparkasse, Deutsche Bank, Postbank und comdirect.

    Überhaupt sollten man ab und zu mal den eigenen Kopf einschalten, nicht allen/allem glauben oder sich von weisen Sprüchen auf Webseiten der Entwickler blenden lassen.

  5. Ist es denn möglich, trotz Sandbox die (wenn auch im Klartext gespeicherten) Daten aus Drittprogrammen auszulesen?

    Dass der Hersteller die Daten Ge-/Miß- oder brauchen kann ist ja eh eine ganz andere Sache. Die eigentliche „Gefahr“ der Sicherheitslücke ist ja eher unkontrollierter externer Zugriff…

  6. Ist ja echt die Höhe. Habe die App gleich gelöscht. Vorher jedoch noch schnell eingeloggt und meine Konten gelöscht. Weiß jemand, ob das reicht? oder muss man da noch mehr löschen?

  7. Interessante Diskussion.
    Aber abgesehen von den Kommentaren über die Sicherheit von Bankingapps ( welche ohne Frage an erster Stelle stehen sollte) finde ich es beachtenswert das der Programmierer so eine Schwäche überhaupt zugibt. Für mich klingt es mehr nach ein Ersuchen um Hilfe in diesem wichtigen Thema. Und da sollten Entwickler mal über mehr miteinander nachdenken.
    Und da beide Apps gute Features bieten könnte ich ach mit einer „OutbankControl“-App glücklich werden.

  8. Okay! Das wusste ich nicht, als ich damals zur Aktion iControl gelobt habe! Aber warum hat Apple iTunes, die ja alles genau prüfen, das nie bemerkt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert