Outbank 2 legt Nutzer-Passwort im Klartext auf dem Mac ab [Update]

115 Kommentare

Update: Inzwischen erklärt man auch im Outbank-Blog das von uns beschriebene Sicherheitsproblem und informiert darüber, wie sich die betroffene Datei von Hand bereinigen lässt.


“Darf nicht passieren – ist leider passiert”. So reagieren die Outbank-Macher beim Kurznachrichtendienst Twitter auf den Hinweis des Bloggers Chris Marquardt, der eine Sicherheitslücke in der gestern ausgegebenen Banking-Software Outbank 2.0 offengelegt hat.

Das Problem: Outbank 2 sichert das Nutzer-Passwort zur Datenbank-Verschlüsselung der HBCI-Applikation im Klartext im System-Log, das auf den betroffenen Rechnern ohne Probleme eingesehen werden kann.

Chris schreibt:

Wie es sich für einen Geek gehört, bin ich bei der Fehlersuche natürlich auch im Syslog gelandet, denn dort schreiben viele Programme Hinweise über das, was sie gerade tun oder in welche Fehlermeldungen sie sich verheddert haben. [...] Zu meiner Überraschung (eher zu meinem Horror) steht dort jetzt mehrfach im Klartext (ja, KLARTEXT!!) mein OutBank-Passwort. Einfach so. Also ob es das normalste der Welt wäre, Passwörter unverschlüsselt in Logfiles zu schreiben.

Die Sicherheitslücke betrifft alle Outbank-Nutzer die Version 2.0.0 (ifun.de berichtete) im Einsatz haben und soll mit dem nächsten Update der Desktop-Anwendung behoben werden. Die betroffene Log-Datei findet ihr im Dateisystem unter /var/log/system.log

Diskussion 115 Kommentare.
Dieser Unterhaltung fehlt Deine Stimme.
    • Leute, warum traut ihr irgendeiner Software eines Drittanbieters eure sensiblen Daten an????
      Selber Schuld!
      Es gibt keine Sicherheit in unserer Zeit, alles ist jederzeit einsehbar, macht euch das endlich bewusst. Lauft zur Bank und gut ist, ihr faulen Säcke ;)

      — YUCKFOU!
      • Und den Banken passieren keine Fehler? Nein, irgendwo muss jeder seinen Weg finden, in dieser hektischen Welt ein paar Optimierungen einzubauen. Wenn ich alles händisch oder zu Fuß machen würde, weil’s sicherer, gesünder, schöner usw. ist, dann bräuchte mein Tag 48 Stunden. Sorry, dann halt auch mal was riskieren. Oje, ich darf mein Systems.log nicht im Internet posten! Hey, es gibt Schlimmeres!

        — schlossperle
      • Fehler passieren immer, aber mir ist’s lieber das es der Bank passiert und diese mich entschädigt, statt nen Dummen Spruch via Twitter wahrzunehmen. Aber jeder wie er will ;)
        Aber du hast natürlich nicht unrecht, alles wird schneller und hektischer, da will man halt mal hier und da etwas Zeit sparen. Man sollte nur aufpassen wo man diese spart, nicht das alle Arbeit umsonst war, weil das ersparte weg ist ;)

        — YUCKFOU!
      • Du hast bestimmt auch keine Scheckkarte und zahlst am liebsten mit Naturalien…

        — Technikelse
  1. Na danke!!!! :((
    Ist ja mal wieder ein Beispiel an Sicherheit… Aber hey, was soll’s geht ja nur um meine BANKDATEN!!!

    — Michael
  2. sowas verstehe ich einfach nicht! immer wieder die gleichen fehler, überall hört man es, liest man es und trotzdem werden die programmierer nicht schlauer :(

    — aCute
    • Vor allem, weil das ja sogar nicht das erste mal bei denen so ist. Bei der ersten Version von iOutbank war damals gar nichts verschlüsselt und die haben erst reagiert, als der große Aufschrei kam. Und jetzt passiert denen nochmal so etwas. Ich bleibe weiterhin lieber auf Abstand zu OutBank, so schön die Software auch aussieht. Aber zum zweiten mal zeigen sie sehr deutlich, dass sie einfach nicht die Erfahrung haben mit so sensiblen Daten umzugehen.

      — Cromax
      • Das ist so allerdings nicht richtig. Bitte nochmal bei heise.de nachlesen.

        — Icke2
      • @Icke2: Ja? Hab ich. Und nun?
        http://www.heise.de/security/m.....47040.html
        “Sowohl iControl als auch iOutBank legen beim Start unverschlüsselte Daten im Dateisystem ab, die dann beim Beenden wieder verschlüsselt werden sollten. Das ging bei beiden Apps in manchen Situationen schief – mit dem Resultat, dass wichtige Daten im Klartext auf dem iPhone gespeichert waren. So legte etwa iOutBank exportierte TAN-Listen unverschlüsselt auf dem iPhone ab. Die wanderten dann beim nächsten Synchronisieren via iTunes auch im Klartext auf den PC, wo sie dann auch ein Banking-Trojaner abgreifen könnte.”

        — Cromax
  3. Sehr peinlich… Wird die App über den Mac App Store verkauft oder direkt als Download? Für die Fehlerbehebung bracht man vermutlich 5 Minuten. Dann noch 3-4 Wochen bis die neue Version von Apple im App Store freigegeben wird und die Sache ist aus der Welt :-)

    — Dextro
  4. Pff, da wird fürs Testen einer Beta-Version Geld verlangt, in dem einfach der Beta-Status entfernt wird. Sauerei, nicht mehr und nicht weniger.

    iPad 1 wird auch nicht mehr unterstützt… so kann man bisher zufriedene Kunden ganz schnell vergraulen.

    — bookoo
      • Die haben fast 1 Mio Downloads. Die machen daraus noch ein Gewinnspiel. Einzusehen auf deren Seite.

        — Ichbleibich
  5. Outbank ist langsamer,zeigt Umsätze doppelt an, saldiert falsch und ist jetzt auch noch unsicherere. Erfolgsgeschichten klingen anders.

    — Besh214
  6. Wer das Teil jetzt noch nutzt ist einfach nur dämlich.
    Schon alleine wegen der Aussage von den Machern würde ich es nichtmehr nutzen!

    — Mr. X
    • was meinst du? die haben den fehler direkt und klar eingestanden, was willst du mehr? die werden wohl ein paar überstunden einlegen müssen und dann geht das als sicherheitsupdate bestimmt auch relativ fix.

      — HO
      • Du gehörst zu den dummen ;) jeder der sich verarschen lässt ist ein gefundenes fressen für die.

        — Mr. X
  7. Klasse! Die OutBank Macher machen alles was nur möglich ist, um ihr Kunden zu enttäuschen!
    Gäbe es eine gute Alternative, würd ich sofort umsteigen!

    Fabio
  8. Hoffentlich nur Desktop und nicht auch noch iphone iPad oder iCloud ? – anscheinend wurde hier vorschnell gehandelt ohne Sicherheitsrevante stellen zu testen!
    Sowas darf bei einer Banking Software einfach nicht passieren :-(

    — Christian (M)
    • Erstmal wäre das auf dem ipad noch nicht so schlimm. Man kommt im “normalfall” nicht an die Klartexte ran. Aber wenn man einen Jailbreak hat, dann ist das schon eher ein Problem. Hier “könnte” der Entwickler Vorsorge betreiben und keine Klarnamen ablegen. Dennoch ist ein Jailbreak eine Manipulation des Gerätes und dafür ist dann kein Hersteller verplichtet dafür Vorkehrungen zu treffen. Aber bei so einer sensiblen Software und der Verbreitung des Jailbreaks, sollte er es dennoch tun (das zeigt von Professionalität).
      Ein Jailbreak sollte daher durch die aktuellen Ereignisse immer zweimal bedacht werden.

      — Jan
  9. Ganz klar, Gewinne machen setzt voraus, etwas schnell an den Markt zu bringen, ein enormer Druck zu Lasten der Kunden, so wie in jeder Branche, hier geht’s Gott sei dank “nur” um unsere Daten :-(
    Bei solchen Apps sind Fehler nicht zu entschuldigen.
    Das Vertrauen zur App ist jetzt auf jeden Fall gestört…
    Schade

    — Sven
  10. So, das wars nun endlich. Damals gekauft, nun nicht nur das Update bei iOS kostenpflichtig, sondern auch noch das. Pecunia ist kostenlos, ansehlicher was die Oberfläche angeht und dazu auch noch fehlerfreier als das Desaster hier mit Outbank… Gelöscht, und verbannt… Die werden wohl Grössenwahnsinnig langsam

    — HAli
  11. Immer wieder dieselben Fehler und nicht gerade kleine. Dann bringe ich 2.0 eben 4Wochen später raus. Ich schaue mir noch einmal StarMoney im AppStore an…

    — MD707
  12. Hmm Sicherheitslücken, Abstürze der App auf Mac und iPad, fehlgeschlagen Migration der Daten … Schlechte Bewertungen im MacAppStore … Das wohl schlechteste großartig angekündigte Update !

    — iMarcl
  13. Und so einer Software/Firma soll ich vertrauen? Die Software kommt mir auf keinen Fall auf den Rechner/iPhone.

    — Al
  14. Passt zur aktuellen Apple Qualität-Die AppStore Freigabe hat den Planmäßigen Rollout gestoppt und dann nicht mal diesen Bug gefunden? Das ist ein Witz-dann kann die Signatur auch ganz abgeschafft werden..

    — AppleCare
  15. Hier nun die Frage: Kann ein MAC mit OSX mit abwerk einstellungen übers netz gehackt werden?

    welche tools / einstellungen empfielt ihr um trojaner / angriffe etc. abzuwehren?

    — fraales
      • ich hab sophos, ist kostenlos …aber auch die 5 jahre zuvor ohne sophos hatte ich keine virus probleme

        — HO
    • Router mit guter Firewall, nur selektiv Ports weiterleiten. Antivirenprogramme, hm, verhindern momentan noch am ehesten die Weiterverbreitung von Windows-Viren.

      Java im Browser abstellen, wenn’s nicht gebraucht wird.

      Der mit Abstand wichtigste Schutz vor Trojanern ist und bleibt: Hirn einschalten, bevor man etwas runterläd und es auf dem Rechner startet.

      — schlossperle
  16. Ich bin auch alles andere als zufrieden. Stürzt ständig ab, hat einmal all meine Kategorien gelöscht, lässt sich nicht aktualisieren ohne Absturz, auf dem iphone dauert eine Aktualisierung trotz Wlan dank iCloud ewig. Irgendwie doof! Und das mit dem Passwort darf bei einem solchen Programm wo es um so sensible Daten geht einfach nicht passieren, das ärgert mich wirklich sehr!

    — Danny
  17. Terminal starten, dann diese Befehle:

    sudo -i
    cd /var/log
    grep -vE “OutBank\[” system.log > system.log.clean && mv system.log.clean system.log

    — Sven
  18. Immerhin klappt es bei ihm. Ich habe seit dem Update alle 2 Minuten einen Absturz. Teilweise so krass, dass der Mac sich aufgehängt hat. Ein weiteres Desaster ist die Zusammenführung der iCloud-Daten mit der iPad App. Das führt zu totalem Chaos in der App mit tweilweise dreimal dem gleichen Konto. Der Versuch ein Konto zu löschen führt dann auch wieder (wie tausend andere Aktionen) zu einem Absturz.

    Man sollte eben NIE am ersten Tag updaten.

    — Stefan
      • Nur das sie diesen TÜV nicht für die neue Version haben ;-)

        Finanzblick finde ich auch klasse, wünsche mir nur noch ne Mac App. dann Steige ich auch komplett um…

        — Pina
      • Hier schreiben einige Finanzblick ist wirklich gut.

        Was mir nicht an Finanzblick gefällt:

        Meine Bankdaten gehen über deren Server !!!

        Steht hier http://www.finanzblick.de/date.....nschutz/

        Ich finde ” Die Buchungsdaten werden anschließend verschlüsselt von Ihrer Bank zurück an den finanzblick-Server übertragen und dort verschlüsselt ” auch nicht so klasse.

        Bei mir ist Finazblick genau aus dem Grund gleich wieder gelöscht geworden.

        Ich möchte nicht meine Bankdaten auf deren Server übertragen haben.

        — Alexander
  19. Hach ja. Wir leben in einer tollen Welt. Man darf keine Fehler mehr machen ohne gleich komplett an den Pranger gestellt zu werden. Hätte ich Outbank auf Windows hätt ich angst. ;-)

    Mikhael
    • Kommt auf die Fehler drauf an. Ein derartiger Fehler darf!!! bei einer OnlineBanking Software nicht passieren. Das ist ja nichts, was immer mal passieren kann. Gerade bei OnlineBanking Software erwarte ich, dass vor Verkauf der Software alle bejpkannten Regeln der Sicherheit eingehalten werden.

      — Grufty
  20. Naja, passt zur insgesamt eher schwachen Vorstellung. Verzögerung, schlechte Kommunikation, außer Sync kaum neues. Die teure Mac-Software ist immer noch weit hinter den iOS-Versionen.

    — SGAbi2007
      • Mein Problem: Ich zweifel konzeptionell an Outbank. Die Regeln, Auswertungen etc. sind einfach schlecht gemacht. Da fehlen Hand und Fuß.

        — SGAbi2007
    • Wisst ihr eigentlich wie man ein TÜV-Zertifikat erhält? Der Prüfer schaut sich für gewöhnlich die Entwicklungsdokumentation an und bewertet anhand derer ob “ordentlich” gearbeitet wurde. Dabei sucht er speziell nach den Nachweisen, dass Vorschriften, Normen, Best-Practices eingehalten wurden. Wenn es schlimm kommt hat der Prüfer die Software um die es geht nicht mal zu gesicht bekommen. Was hat also dieser Fehler mit dem TÜV-Siegel zu tun? ;-)

      — Michael
  21. Wahnsinn. Als die App und die Software gestern rauskam, war jeder begeistert. Es gibt nichts besseres as OutBank. Jetzt schaut es ein bisserl anders aus:-)

    — Grufty
  22. bin froh,daß ich nicht auf 2 geupdated habe,und outbank ist sowas von out,das alte habe ich auch gelöscht …..
    never again

    — Tom
  23. Und dann kann man halt mein Passwort sehen! Ist doch egal. Solange keiner meine Karte und chiptan Generator in die Finger bekommt.

    — Benjamin
    • Ganz genau. Was genau kann man mit dem Passwort für die Datenbank schon anfangen? Nämlich genau garnichts, außer man sieht die angelegten Konten. Man kann nicht mal die Kontostände abfragen. Also was soll das ganze Geschrei. Es wird ein Update geben und gut ist. Ist wie bei WhatsApp, alle tun empört, aber wenn man fragt ob die Leute was anderes benutzen = Fehlanzeige. Ich hab versucht einige von z.B. hike zu überzeugen … keine Chance. Ich zieh eher den Hut vor den Machern von Outbank auchnmal einen Fehler einzugestehen und Besserung in Aussicht zu stellen.

      — MacGrubi
      • Danke dir. Ich dachte ich bin der einzige der noch normal denkt.

        Aber in der heutigen Zeit geht es dem Menschen scheinbar nur besser wenn er sich beschweren kann…

        — Fabian
      • Na dann schönen Gruß an diejenigen, die diese Passwort nicht nur für OutBank verwenden. Ich wusste bisher gar nicht, dass es auch OutBank und WhattsApp-Jünger gibt. Ich kannte bisher nur die von Apple, die alles, was Apple nicht gut macht, verteidigen müssen.

        — Grufty
      • Die User empören sich über 2€ Kosten und sollen kurz nachdenken, wenn man diese Meldubg ließt? Was erwartet ihr? ;)

        Krzysiekbln
      • Ganz Deiner Meinung. Alles muss kostenlos und bugfree sein, und zwei Tage Verspätung sind eine Frechheit (so hier oft gelesen). Vertrauen gewinnt man dadurch, dass man Fehler (die überall passieren) schnell und professionell behebt. Und wer das gleiche Passwort auch woanders verwendet, sollte eh besser ganz still sein.

        — schlossperle
  24. Wenn Fremde Zugriff nicht nur auf meinen Rechner sondern auch noch auf meinen Useraccount haben, habe ich ganz andere Probleme…..

    — Ulmisch
  25. Heftig! Hab mich jetzt erstmal komplett von Outbank befreit und nutze fürs Homebanking die Website meiner Bank.

    — sam
    • Die Webseite der Bank also …. ob das die bessere Wahl ist, bei den vielen Sicherheitslücken bei Browsern und Java usw. Wage ich zu bezweifeln.

      — MacGrubi
  26. warte inmer noch sehnsüchtig auf eine OS-Version von WiSo mein Geld! einfach das beste auf dem sektor, was es gibt und der einzige Grund, warum ich noch einen zusätzlichen PC besitze.

    — MacAlex24
  27. Der Terminalbefehl funktioniert bei mir nicht. Wenn ich in der Konsole anschließend mein Passwort suche wird es weiterhin (mehrfach) gefunden. Extrem ärgerlich.

    — hehe
  28. Natürlich ist das ein Dummer, vermeidbarer Fehler. Aber sie haben es schnell öffentlich gemacht und stellen schnell ein Update zur Verfügung, das muss man ihnen doch anrechnen.
    Wenn ich mir schaue was whats app abzieht…

    — Lennart
  29. Nur eine Panne von vielen bei der neuen Version. Ich war lange Nutzer von Outbank. Ich werde wohl jetzt auf Starmoney umsteigen, denn so ein Fehler darf bei einer derart sensitiven Software einfach nicht passieren. Die gesamte Software kommt mir vor, als wenn Sie unter enormen Zeitdruck zusammengekloppt wurde. Keine Zeit für Penetrationschecs etc. ***kopfschüttel***

    — Forsthorst
  30. Macht doch nix. Sind genauso persönliche Daten, die bis zu einer Freiwilligen Veröffentlichung niemanden etwas angehen.

    Für mich persönlich sind meine SMS/Emails sogar sensibler als die Konto Daten.

    — Lennart
  31. Fassen wir zusammen:

    Das Anmelde-Passwort für Outbank (bzw. für die Outbank-Datenbank) wird im Klartext in die Datei /var/log/system.log geschrieben. Diese Datei ist für alle Benutzer unter OS X lesbar:

    -rw-r–r– 1 root wheel 837733 18 Jan 22:23 /var/log/system.log

    D.h. jeder Benutzer auf dem Mac kann problemlos das Passwort für die Datei im Klartext lesen. Als Workaround wird von stoeger-IT der Shell (“Terminal”)-Befehl

    sudo -i — ‘cd /var/log && grep -vE “OutBank\[" system.log > system.log.clean && mv system.log.clean system.log && if [[ -f system.log.0.bz2 ]]; then for a in system.log.*.bz2; do bunzip2 $a && grep -vE “OutBank\[” ${a%.*} > ${a%.*}.clean && mv ${a%.*}.clean ${a%.*} && bzip2 ${a%.*} ; done; fi; rm -f /var/log/asl/*.asl’

    vorgeschlagen, der nach jeder Benutzung von Outbank ausgeführt werden soll. Dieser Befehl löscht die betreffenden Einträge aus dem Logfile.

    Das Problem ist, dass schon *während* der Benutzung das Passwort im Klartext in /var/log/system.log steht und problemlos ausgelesen werden kann! Es wird direkt nach der Eingabe ins Logfile geschrieben.

    Die einzig richtige Konsequenz ist, OutBank nicht zu benutzen, so lange dieser Fehler besteht, und das sollte meiner Meinung nach auch den Kunden so mitgeteilt werden.

    — bofax
    • Das hast du doch auf Facebook schon geschrieben, oh man. Hauptsache was zu meckern. Stoeger IT behebt doch schon die Fehler und das erste update 2.01 für iOS und OSX ist schon bei Apple.

      — cobra1OnE
      • Liebe(r) cobra1OnE,
        das hat weniger was mit meckern zu tun, sondern mit Aufklären. Ich werde Outbank sicherlich wieder benutzen, wenn diese Lücke geschlossen ist, da es ein super Produkt ist. Aber momentan sollte das der Durchschnittsuser nicht tun, bis das Update eingespielt ist. Meine Meinung. Kann ja jeder machen wie er will (darf dann aber auch nicht jammern, wenn doch jemand Drittes Zugriff auf sensible Daten bekommen hat).
        Buenas noches.

        — bofax
  32. Outbank stürzt bei mir permanent ab wenn ich die Umsätze abfrage. Da spielt die Sichheitslücke doch keine Rolle, den wenn ein Programm absolut unbrauchbar ist kann es ruhig unsicher sein. Es hat ja keinen Nutzen.

    — Bernd Winki
  33. Hallo, kann mal bitte jemand versuchen in der Mac Version ein Konto zu löschen – bei mir folgt regelmäßig ein Absturz ??

    — Daniel

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
Insgesamt haben wir 13985 Artikel in den vergangenen 4661 Tagen veröffentlicht. Und es werden täglich mehr.


ifun - Love it or leave it   ·   Copyright © 2014 aketo GmbH - Alle Rechte vorbehalten   ·   Impressum   ·   Auf dieser Seite werben   ·   RSS