Kritik an Banking-App Centona: Entwickler versprechen schnelle Updates
Letzte Woche haben wir über die neue Mac-Banking-Software Centona berichtet. Zum Preis von 7,99 Euro platziert sich die App als attraktiver Neuzugang in diesem Segment. Offenbar treten die Macher dabei jedoch irgend jemand auf den Schlips und sehen sich jetzt einer viralen Kampagne ausgesetzt, in deren Rahmen die Sicherheit der Anwendung in Frage gestellt wird.
Zunächst zu den Vorwürfen. In einem Video auf YouTube demonstriert ein Nutzer namens „AppCrasher“, dass die Datenbank von Centona unverschlüsselt auf dem Mac abgelegt ist. Zweifellos ein berechtigter Kritikpunkt, zu dem wir die Centona-Macher auch direkt um Stellungnahme gebeten haben. Immerhin stammt die neue Banking-Anwendung von keinem No-Name-Entwickler, sondern aus dem seit langer Zeit mit namhaften Mac-Anwendungen erfolgreichen Softwarehaus Synium. Die Antwort kam postwendend.
Was man in dem Video sieht, ist die eigentliche Datenbank und nicht die verschlüsselte Version für die iCloud. Auf der iCloud liegt immer nur die verschlüsselte Version der Datenbank. Lokal wird auch die entschlüsselte Version wegen Performance gespeichert. Auf iOS gänzlich unproblematisch, weil man nicht an das Dateisystem kommt (außer das Gerät ist vorher gejailbreakt). Auf OS X benötigt man Zugriff auf den User-Account um an die Daten zu gelangen. Eine Option in der nur die verschlüsselte Version der Datenbank behalten wird kommt bald, kann aber zu längeren Startzeiten führen.
Ergänzend wurde uns versichert, dass man die Verschlüsselung der Daten dennoch kurzfristig per Update nachrüsten wolle, um sämtliche Kritikpunkte aus dem Weg zu räumen.
Wir (ifun) wollen dazu noch anmerken, dass wir ein kennwortgeschütztes Benutzerkonto bzw. den Einsatz der OS X-Festplattenverschlüsselung FileVault mit Blick auf die Sicherheit der eigenen Daten zumindest bei portablen Macs sowieso für unumgänglich halten. Dennoch ist die Kritik an Centona nicht gänzlich unberechtigt, liegt es doch in der Verantwortung der Softwareentwickler, möglichst maximale Sicherheit zu bieten.
Der Konkurrenz auf den Schlips getreten?
Die Art und Weise, wie diese Kritik hier geäußert wird, lässt uns allerdings vermuten, dass hier keine verantwortungsbewussten Sicherheitsexperten sondern eher unprofessionelle Konkurrenten am Werk sind. Statt den gängigen Weg zu beschreiten und zunächst die Verantwortlichen über die vermeintliche Sicherheitslücke zu informieren, wurde direkt die Öffentlichkeit gesucht.
Besagter YouTube-Nutzer hat zudem gerade mal erst dieses eine Video veröffentlicht und dafür massiv sowohl in unseren Kommentaren als auch per E-Mail geworben. Teils wurden hier auch E-Mail-Adressen mit Domainendungen der Konkurrenz angegeben, deren Authentizität wir nicht überprüfen konnten. Auf die direkte Nachfrage, ob er für ein Konkurrenzunternehmen arbeite, gab uns der YouTube-Nutzer ausweichende Antworten.
Keine Frage. Die Sicherheit ist insbesondere bei Banking-Anwendungen ein heikles und wichtiges Thema. Wir erwarten aber auch von allen Beteiligten, dass damit professionell umgegangen wird. Dazu gehört es auch, den Betroffenen die Möglichkeit zur Stellungnahme und Nachbesserung zu geben, bevor derartiges veröffentlicht wird.