Outbank 2 legt Nutzer-Passwort im Klartext auf dem Mac ab [Update]

Update: Inzwischen erklärt man auch im Outbank-Blog das von uns beschriebene Sicherheitsproblem und informiert darüber, wie sich die betroffene Datei von Hand bereinigen lässt.

„Darf nicht passieren – ist leider passiert“. So reagieren die Outbank-Macher beim Kurznachrichtendienst Twitter auf den Hinweis des Bloggers Chris Marquardt, der eine Sicherheitslücke in der gestern ausgegebenen Banking-Software Outbank 2.0 offengelegt hat.

Das Problem: Outbank 2 sichert das Nutzer-Passwort zur Datenbank-Verschlüsselung der HBCI-Applikation im Klartext im System-Log, das auf den betroffenen Rechnern ohne Probleme eingesehen werden kann.

Chris schreibt:

Wie es sich für einen Geek gehört, bin ich bei der Fehlersuche natürlich auch im Syslog gelandet, denn dort schreiben viele Programme Hinweise über das, was sie gerade tun oder in welche Fehlermeldungen sie sich verheddert haben. […] Zu meiner Überraschung (eher zu meinem Horror) steht dort jetzt mehrfach im Klartext (ja, KLARTEXT!!) mein OutBank-Passwort. Einfach so. Also ob es das normalste der Welt wäre, Passwörter unverschlüsselt in Logfiles zu schreiben.

Die Sicherheitslücke betrifft alle Outbank-Nutzer die Version 2.0.0 (ifun.de berichtete) im Einsatz haben und soll mit dem nächsten Update der Desktop-Anwendung behoben werden. Die betroffene Log-Datei findet ihr im Dateisystem unter /var/log/system.log