ifun.de — Apple News seit 2001. 37 887 Artikel
   

Outbank 2 legt Nutzer-Passwort im Klartext auf dem Mac ab [Update]

Artikel auf Mastodon teilen.
115 Kommentare 115

Update: Inzwischen erklärt man auch im Outbank-Blog das von uns beschriebene Sicherheitsproblem und informiert darüber, wie sich die betroffene Datei von Hand bereinigen lässt.


„Darf nicht passieren – ist leider passiert“. So reagieren die Outbank-Macher beim Kurznachrichtendienst Twitter auf den Hinweis des Bloggers Chris Marquardt, der eine Sicherheitslücke in der gestern ausgegebenen Banking-Software Outbank 2.0 offengelegt hat.

Das Problem: Outbank 2 sichert das Nutzer-Passwort zur Datenbank-Verschlüsselung der HBCI-Applikation im Klartext im System-Log, das auf den betroffenen Rechnern ohne Probleme eingesehen werden kann.

Chris schreibt:

Wie es sich für einen Geek gehört, bin ich bei der Fehlersuche natürlich auch im Syslog gelandet, denn dort schreiben viele Programme Hinweise über das, was sie gerade tun oder in welche Fehlermeldungen sie sich verheddert haben. […] Zu meiner Überraschung (eher zu meinem Horror) steht dort jetzt mehrfach im Klartext (ja, KLARTEXT!!) mein OutBank-Passwort. Einfach so. Also ob es das normalste der Welt wäre, Passwörter unverschlüsselt in Logfiles zu schreiben.

Die Sicherheitslücke betrifft alle Outbank-Nutzer die Version 2.0.0 (ifun.de berichtete) im Einsatz haben und soll mit dem nächsten Update der Desktop-Anwendung behoben werden. Die betroffene Log-Datei findet ihr im Dateisystem unter /var/log/system.log

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
18. Jan 2013 um 09:51 Uhr von Nicolas Fehler gefunden?


    "/]

    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    115 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    • Leute, warum traut ihr irgendeiner Software eines Drittanbieters eure sensiblen Daten an????
      Selber Schuld!
      Es gibt keine Sicherheit in unserer Zeit, alles ist jederzeit einsehbar, macht euch das endlich bewusst. Lauft zur Bank und gut ist, ihr faulen Säcke ;)

      • Und den Banken passieren keine Fehler? Nein, irgendwo muss jeder seinen Weg finden, in dieser hektischen Welt ein paar Optimierungen einzubauen. Wenn ich alles händisch oder zu Fuß machen würde, weil’s sicherer, gesünder, schöner usw. ist, dann bräuchte mein Tag 48 Stunden. Sorry, dann halt auch mal was riskieren. Oje, ich darf mein Systems.log nicht im Internet posten! Hey, es gibt Schlimmeres!

      • Fehler passieren immer, aber mir ist’s lieber das es der Bank passiert und diese mich entschädigt, statt nen Dummen Spruch via Twitter wahrzunehmen. Aber jeder wie er will ;)
        Aber du hast natürlich nicht unrecht, alles wird schneller und hektischer, da will man halt mal hier und da etwas Zeit sparen. Man sollte nur aufpassen wo man diese spart, nicht das alle Arbeit umsonst war, weil das ersparte weg ist ;)

      • Du hast bestimmt auch keine Scheckkarte und zahlst am liebsten mit Naturalien…

      • Ich zahle Bar auf die Kralle ;)

  • Na danke!!!! :((
    Ist ja mal wieder ein Beispiel an Sicherheit… Aber hey, was soll’s geht ja nur um meine BANKDATEN!!!

  • sowas verstehe ich einfach nicht! immer wieder die gleichen fehler, überall hört man es, liest man es und trotzdem werden die programmierer nicht schlauer :(

    • Vor allem, weil das ja sogar nicht das erste mal bei denen so ist. Bei der ersten Version von iOutbank war damals gar nichts verschlüsselt und die haben erst reagiert, als der große Aufschrei kam. Und jetzt passiert denen nochmal so etwas. Ich bleibe weiterhin lieber auf Abstand zu OutBank, so schön die Software auch aussieht. Aber zum zweiten mal zeigen sie sehr deutlich, dass sie einfach nicht die Erfahrung haben mit so sensiblen Daten umzugehen.

      • Das ist so allerdings nicht richtig. Bitte nochmal bei heise.de nachlesen.

      • @Icke2: Ja? Hab ich. Und nun?
        http://www.heise.de/security/m.....47040.html
        „Sowohl iControl als auch iOutBank legen beim Start unverschlüsselte Daten im Dateisystem ab, die dann beim Beenden wieder verschlüsselt werden sollten. Das ging bei beiden Apps in manchen Situationen schief – mit dem Resultat, dass wichtige Daten im Klartext auf dem iPhone gespeichert waren. So legte etwa iOutBank exportierte TAN-Listen unverschlüsselt auf dem iPhone ab. Die wanderten dann beim nächsten Synchronisieren via iTunes auch im Klartext auf den PC, wo sie dann auch ein Banking-Trojaner abgreifen könnte.“

  • Sehr peinlich… Wird die App über den Mac App Store verkauft oder direkt als Download? Für die Fehlerbehebung bracht man vermutlich 5 Minuten. Dann noch 3-4 Wochen bis die neue Version von Apple im App Store freigegeben wird und die Sache ist aus der Welt :-)

  • Pff, da wird fürs Testen einer Beta-Version Geld verlangt, in dem einfach der Beta-Status entfernt wird. Sauerei, nicht mehr und nicht weniger.

    iPad 1 wird auch nicht mehr unterstützt… so kann man bisher zufriedene Kunden ganz schnell vergraulen.

  • Outbank ist langsamer,zeigt Umsätze doppelt an, saldiert falsch und ist jetzt auch noch unsicherere. Erfolgsgeschichten klingen anders.

  • Zum Glück habe ich ein Gedächtnis in dem meine Kennwörter gespeichert sind.

  • Das ist echt peinlich! Dem Entwickler sollte man auf seinen Allerwertesten hauen ;)

  • Wer das Teil jetzt noch nutzt ist einfach nur dämlich.
    Schon alleine wegen der Aussage von den Machern würde ich es nichtmehr nutzen!

    • was meinst du? die haben den fehler direkt und klar eingestanden, was willst du mehr? die werden wohl ein paar überstunden einlegen müssen und dann geht das als sicherheitsupdate bestimmt auch relativ fix.

      • Du gehörst zu den dummen ;) jeder der sich verarschen lässt ist ein gefundenes fressen für die.

  • Klasse! Die OutBank Macher machen alles was nur möglich ist, um ihr Kunden zu enttäuschen!
    Gäbe es eine gute Alternative, würd ich sofort umsteigen!

  • Hoffentlich nur Desktop und nicht auch noch iphone iPad oder iCloud ? – anscheinend wurde hier vorschnell gehandelt ohne Sicherheitsrevante stellen zu testen!
    Sowas darf bei einer Banking Software einfach nicht passieren :-(

    • Erstmal wäre das auf dem ipad noch nicht so schlimm. Man kommt im „normalfall“ nicht an die Klartexte ran. Aber wenn man einen Jailbreak hat, dann ist das schon eher ein Problem. Hier „könnte“ der Entwickler Vorsorge betreiben und keine Klarnamen ablegen. Dennoch ist ein Jailbreak eine Manipulation des Gerätes und dafür ist dann kein Hersteller verplichtet dafür Vorkehrungen zu treffen. Aber bei so einer sensiblen Software und der Verbreitung des Jailbreaks, sollte er es dennoch tun (das zeigt von Professionalität).
      Ein Jailbreak sollte daher durch die aktuellen Ereignisse immer zweimal bedacht werden.

    • Mir fällt auf, dass OutBank nicht mehr mit dem TÜV-Zertifikat für Datensicherheit wirbt…

  • Ganz klar, Gewinne machen setzt voraus, etwas schnell an den Markt zu bringen, ein enormer Druck zu Lasten der Kunden, so wie in jeder Branche, hier geht’s Gott sei dank „nur“ um unsere Daten :-(
    Bei solchen Apps sind Fehler nicht zu entschuldigen.
    Das Vertrauen zur App ist jetzt auf jeden Fall gestört…
    Schade

  • So, das wars nun endlich. Damals gekauft, nun nicht nur das Update bei iOS kostenpflichtig, sondern auch noch das. Pecunia ist kostenlos, ansehlicher was die Oberfläche angeht und dazu auch noch fehlerfreier als das Desaster hier mit Outbank… Gelöscht, und verbannt… Die werden wohl Grössenwahnsinnig langsam

  • Immer wieder dieselben Fehler und nicht gerade kleine. Dann bringe ich 2.0 eben 4Wochen später raus. Ich schaue mir noch einmal StarMoney im AppStore an…

  • Hmm Sicherheitslücken, Abstürze der App auf Mac und iPad, fehlgeschlagen Migration der Daten … Schlechte Bewertungen im MacAppStore … Das wohl schlechteste großartig angekündigte Update !

  • Und so einer Software/Firma soll ich vertrauen? Die Software kommt mir auf keinen Fall auf den Rechner/iPhone.

  • Zumindest für IOS gibt es mit Finanzblick eine sehr gute Alternative

  • Passt zur aktuellen Apple Qualität-Die AppStore Freigabe hat den Planmäßigen Rollout gestoppt und dann nicht mal diesen Bug gefunden? Das ist ein Witz-dann kann die Signatur auch ganz abgeschafft werden..

  • Hier nun die Frage: Kann ein MAC mit OSX mit abwerk einstellungen übers netz gehackt werden?

    welche tools / einstellungen empfielt ihr um trojaner / angriffe etc. abzuwehren?

    • FALLS du dir ein Antivieren-Programm lädst, dann Avira AntiVir. Kostenlos und das Beste.

      • ich hab sophos, ist kostenlos …aber auch die 5 jahre zuvor ohne sophos hatte ich keine virus probleme

    • Router mit guter Firewall, nur selektiv Ports weiterleiten. Antivirenprogramme, hm, verhindern momentan noch am ehesten die Weiterverbreitung von Windows-Viren.

      Java im Browser abstellen, wenn’s nicht gebraucht wird.

      Der mit Abstand wichtigste Schutz vor Trojanern ist und bleibt: Hirn einschalten, bevor man etwas runterläd und es auf dem Rechner startet.

  • Ich bin auch alles andere als zufrieden. Stürzt ständig ab, hat einmal all meine Kategorien gelöscht, lässt sich nicht aktualisieren ohne Absturz, auf dem iphone dauert eine Aktualisierung trotz Wlan dank iCloud ewig. Irgendwie doof! Und das mit dem Passwort darf bei einem solchen Programm wo es um so sensible Daten geht einfach nicht passieren, das ärgert mich wirklich sehr!

  • wie kann sowas passieren wenn die so großartig mit Tüv Sicherheitsgeprüft werbung machen??

  • Ich Sage nur:’TÜV Süd‘ geprüft, die können vielleicht in Autos…

  • Terminal starten, dann diese Befehle:

    sudo -i
    cd /var/log
    grep -vE „OutBank\[“ system.log > system.log.clean && mv system.log.clean system.log

  • Immerhin klappt es bei ihm. Ich habe seit dem Update alle 2 Minuten einen Absturz. Teilweise so krass, dass der Mac sich aufgehängt hat. Ein weiteres Desaster ist die Zusammenführung der iCloud-Daten mit der iPad App. Das führt zu totalem Chaos in der App mit tweilweise dreimal dem gleichen Konto. Der Versuch ein Konto zu löschen führt dann auch wieder (wie tausend andere Aktionen) zu einem Absturz.

    Man sollte eben NIE am ersten Tag updaten.

    • Mit diesem schwachsinnigen TÜV-Zertifikat wirbt iOutBank auch…
      Und jetzt?!

      • Nur das sie diesen TÜV nicht für die neue Version haben ;-)

        Finanzblick finde ich auch klasse, wünsche mir nur noch ne Mac App. dann Steige ich auch komplett um…

    • Finanzblick ist wirklich gut.
      Einziger Kritikpunkt bei iPad Nutzung: Hochformat ist nicht möglich.

      • Hier schreiben einige Finanzblick ist wirklich gut.

        Was mir nicht an Finanzblick gefällt:

        Meine Bankdaten gehen über deren Server !!!

        Steht hier http://www.finanzblick.de/date.....nschutz/

        Ich finde “ Die Buchungsdaten werden anschließend verschlüsselt von Ihrer Bank zurück an den finanzblick-Server übertragen und dort verschlüsselt “ auch nicht so klasse.

        Bei mir ist Finazblick genau aus dem Grund gleich wieder gelöscht geworden.

        Ich möchte nicht meine Bankdaten auf deren Server übertragen haben.

      • Ja aber das gilt nur, wenn Du auch die WebApp nutzen möchtest …

  • Hach ja. Wir leben in einer tollen Welt. Man darf keine Fehler mehr machen ohne gleich komplett an den Pranger gestellt zu werden. Hätte ich Outbank auf Windows hätt ich angst. ;-)

  • Naja, passt zur insgesamt eher schwachen Vorstellung. Verzögerung, schlechte Kommunikation, außer Sync kaum neues. Die teure Mac-Software ist immer noch weit hinter den iOS-Versionen.

    • Wisst ihr eigentlich wie man ein TÜV-Zertifikat erhält? Der Prüfer schaut sich für gewöhnlich die Entwicklungsdokumentation an und bewertet anhand derer ob „ordentlich“ gearbeitet wurde. Dabei sucht er speziell nach den Nachweisen, dass Vorschriften, Normen, Best-Practices eingehalten wurden. Wenn es schlimm kommt hat der Prüfer die Software um die es geht nicht mal zu gesicht bekommen. Was hat also dieser Fehler mit dem TÜV-Siegel zu tun? ;-)

  • Wahnsinn. Als die App und die Software gestern rauskam, war jeder begeistert. Es gibt nichts besseres as OutBank. Jetzt schaut es ein bisserl anders aus:-)

  • bin froh,daß ich nicht auf 2 geupdated habe,und outbank ist sowas von out,das alte habe ich auch gelöscht …..
    never again

  • Und dann kann man halt mein Passwort sehen! Ist doch egal. Solange keiner meine Karte und chiptan Generator in die Finger bekommt.

    • Ganz genau. Was genau kann man mit dem Passwort für die Datenbank schon anfangen? Nämlich genau garnichts, außer man sieht die angelegten Konten. Man kann nicht mal die Kontostände abfragen. Also was soll das ganze Geschrei. Es wird ein Update geben und gut ist. Ist wie bei WhatsApp, alle tun empört, aber wenn man fragt ob die Leute was anderes benutzen = Fehlanzeige. Ich hab versucht einige von z.B. hike zu überzeugen … keine Chance. Ich zieh eher den Hut vor den Machern von Outbank auchnmal einen Fehler einzugestehen und Besserung in Aussicht zu stellen.

      • Danke dir. Ich dachte ich bin der einzige der noch normal denkt.

        Aber in der heutigen Zeit geht es dem Menschen scheinbar nur besser wenn er sich beschweren kann…

      • Na dann schönen Gruß an diejenigen, die diese Passwort nicht nur für OutBank verwenden. Ich wusste bisher gar nicht, dass es auch OutBank und WhattsApp-Jünger gibt. Ich kannte bisher nur die von Apple, die alles, was Apple nicht gut macht, verteidigen müssen.

      • Die User empören sich über 2€ Kosten und sollen kurz nachdenken, wenn man diese Meldubg ließt? Was erwartet ihr? ;)

      • Ganz Deiner Meinung. Alles muss kostenlos und bugfree sein, und zwei Tage Verspätung sind eine Frechheit (so hier oft gelesen). Vertrauen gewinnt man dadurch, dass man Fehler (die überall passieren) schnell und professionell behebt. Und wer das gleiche Passwort auch woanders verwendet, sollte eh besser ganz still sein.

  • ist ja im Moment kein Problem da das Programm sowieso abstürzt…

  • Wenn Fremde Zugriff nicht nur auf meinen Rechner sondern auch noch auf meinen Useraccount haben, habe ich ganz andere Probleme…..

  • Heftig! Hab mich jetzt erstmal komplett von Outbank befreit und nutze fürs Homebanking die Website meiner Bank.

  • warte inmer noch sehnsüchtig auf eine OS-Version von WiSo mein Geld! einfach das beste auf dem sektor, was es gibt und der einzige Grund, warum ich noch einen zusätzlichen PC besitze.

  • Der Terminalbefehl funktioniert bei mir nicht. Wenn ich in der Konsole anschließend mein Passwort suche wird es weiterhin (mehrfach) gefunden. Extrem ärgerlich.

  • Natürlich ist das ein Dummer, vermeidbarer Fehler. Aber sie haben es schnell öffentlich gemacht und stellen schnell ein Update zur Verfügung, das muss man ihnen doch anrechnen.
    Wenn ich mir schaue was whats app abzieht…

  • Ich weiß schon warum ich solche Programme nicht nutze

    Pseudo Sicherheit

  • Nur eine Panne von vielen bei der neuen Version. Ich war lange Nutzer von Outbank. Ich werde wohl jetzt auf Starmoney umsteigen, denn so ein Fehler darf bei einer derart sensitiven Software einfach nicht passieren. Die gesamte Software kommt mir vor, als wenn Sie unter enormen Zeitdruck zusammengekloppt wurde. Keine Zeit für Penetrationschecs etc. ***kopfschüttel***

  • Macht doch nix. Sind genauso persönliche Daten, die bis zu einer Freiwilligen Veröffentlichung niemanden etwas angehen.

    Für mich persönlich sind meine SMS/Emails sogar sensibler als die Konto Daten.

  • Fassen wir zusammen:

    Das Anmelde-Passwort für Outbank (bzw. für die Outbank-Datenbank) wird im Klartext in die Datei /var/log/system.log geschrieben. Diese Datei ist für alle Benutzer unter OS X lesbar:

    -rw-r–r– 1 root wheel 837733 18 Jan 22:23 /var/log/system.log

    D.h. jeder Benutzer auf dem Mac kann problemlos das Passwort für die Datei im Klartext lesen. Als Workaround wird von stoeger-IT der Shell („Terminal“)-Befehl

    sudo -i — ‚cd /var/log && grep -vE „OutBank\[“ system.log > system.log.clean && mv system.log.clean system.log && if [[ -f system.log.0.bz2 ]]; then for a in system.log.*.bz2; do bunzip2 $a && grep -vE „OutBank\[“ ${a%.*} > ${a%.*}.clean && mv ${a%.*}.clean ${a%.*} && bzip2 ${a%.*} ; done; fi; rm -f /var/log/asl/*.asl‘

    vorgeschlagen, der nach jeder Benutzung von Outbank ausgeführt werden soll. Dieser Befehl löscht die betreffenden Einträge aus dem Logfile.

    Das Problem ist, dass schon *während* der Benutzung das Passwort im Klartext in /var/log/system.log steht und problemlos ausgelesen werden kann! Es wird direkt nach der Eingabe ins Logfile geschrieben.

    Die einzig richtige Konsequenz ist, OutBank nicht zu benutzen, so lange dieser Fehler besteht, und das sollte meiner Meinung nach auch den Kunden so mitgeteilt werden.

    • Das hast du doch auf Facebook schon geschrieben, oh man. Hauptsache was zu meckern. Stoeger IT behebt doch schon die Fehler und das erste update 2.01 für iOS und OSX ist schon bei Apple.

      • Liebe(r) cobra1OnE,
        das hat weniger was mit meckern zu tun, sondern mit Aufklären. Ich werde Outbank sicherlich wieder benutzen, wenn diese Lücke geschlossen ist, da es ein super Produkt ist. Aber momentan sollte das der Durchschnittsuser nicht tun, bis das Update eingespielt ist. Meine Meinung. Kann ja jeder machen wie er will (darf dann aber auch nicht jammern, wenn doch jemand Drittes Zugriff auf sensible Daten bekommen hat).
        Buenas noches.

  • Outbank stürzt bei mir permanent ab wenn ich die Umsätze abfrage. Da spielt die Sichheitslücke doch keine Rolle, den wenn ein Programm absolut unbrauchbar ist kann es ruhig unsicher sein. Es hat ja keinen Nutzen.

  • Outbank verspielt seinen guten Ruf. Finanzblick it ein Blick Wert

  • Hallo, kann mal bitte jemand versuchen in der Mac Version ein Konto zu löschen – bei mir folgt regelmäßig ein Absturz ??

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37887 Artikel in den vergangenen 8192 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven