Kritik an Banking-App Centona: Entwickler versprechen schnelle Updates
Letzte Woche haben wir über die neue Mac-Banking-Software Centona berichtet. Zum Preis von 7,99 Euro platziert sich die App als attraktiver Neuzugang in diesem Segment. Offenbar treten die Macher dabei jedoch irgend jemand auf den Schlips und sehen sich jetzt einer viralen Kampagne ausgesetzt, in deren Rahmen die Sicherheit der Anwendung in Frage gestellt wird.
Zunächst zu den Vorwürfen. In einem Video auf YouTube demonstriert ein Nutzer namens „AppCrasher“, dass die Datenbank von Centona unverschlüsselt auf dem Mac abgelegt ist. Zweifellos ein berechtigter Kritikpunkt, zu dem wir die Centona-Macher auch direkt um Stellungnahme gebeten haben. Immerhin stammt die neue Banking-Anwendung von keinem No-Name-Entwickler, sondern aus dem seit langer Zeit mit namhaften Mac-Anwendungen erfolgreichen Softwarehaus Synium. Die Antwort kam postwendend.
Was man in dem Video sieht, ist die eigentliche Datenbank und nicht die verschlüsselte Version für die iCloud. Auf der iCloud liegt immer nur die verschlüsselte Version der Datenbank. Lokal wird auch die entschlüsselte Version wegen Performance gespeichert. Auf iOS gänzlich unproblematisch, weil man nicht an das Dateisystem kommt (außer das Gerät ist vorher gejailbreakt). Auf OS X benötigt man Zugriff auf den User-Account um an die Daten zu gelangen. Eine Option in der nur die verschlüsselte Version der Datenbank behalten wird kommt bald, kann aber zu längeren Startzeiten führen.
Ergänzend wurde uns versichert, dass man die Verschlüsselung der Daten dennoch kurzfristig per Update nachrüsten wolle, um sämtliche Kritikpunkte aus dem Weg zu räumen.
Wir (ifun) wollen dazu noch anmerken, dass wir ein kennwortgeschütztes Benutzerkonto bzw. den Einsatz der OS X-Festplattenverschlüsselung FileVault mit Blick auf die Sicherheit der eigenen Daten zumindest bei portablen Macs sowieso für unumgänglich halten. Dennoch ist die Kritik an Centona nicht gänzlich unberechtigt, liegt es doch in der Verantwortung der Softwareentwickler, möglichst maximale Sicherheit zu bieten.
Der Konkurrenz auf den Schlips getreten?
Die Art und Weise, wie diese Kritik hier geäußert wird, lässt uns allerdings vermuten, dass hier keine verantwortungsbewussten Sicherheitsexperten sondern eher unprofessionelle Konkurrenten am Werk sind. Statt den gängigen Weg zu beschreiten und zunächst die Verantwortlichen über die vermeintliche Sicherheitslücke zu informieren, wurde direkt die Öffentlichkeit gesucht.
Besagter YouTube-Nutzer hat zudem gerade mal erst dieses eine Video veröffentlicht und dafür massiv sowohl in unseren Kommentaren als auch per E-Mail geworben. Teils wurden hier auch E-Mail-Adressen mit Domainendungen der Konkurrenz angegeben, deren Authentizität wir nicht überprüfen konnten. Auf die direkte Nachfrage, ob er für ein Konkurrenzunternehmen arbeite, gab uns der YouTube-Nutzer ausweichende Antworten.
Keine Frage. Die Sicherheit ist insbesondere bei Banking-Anwendungen ein heikles und wichtiges Thema. Wir erwarten aber auch von allen Beteiligten, dass damit professionell umgegangen wird. Dazu gehört es auch, den Betroffenen die Möglichkeit zur Stellungnahme und Nachbesserung zu geben, bevor derartiges veröffentlicht wird.
Hoffentlich kommt raus, welche Konkurrenz dahinter steckt.
Und dann würde ich die verklagen!!
Ok, und warum? Wegen übler Nachrede? Oder Rufmord?
Sind doch klare Fakten gewesen, hat ja nichts dazu erfunden.
Blödsinn. Wenn die Datenbank unverschlüsselt abgelegt wird, ist das ein schwerwiegender Sicherheitsmangel. Das ist keine Spiele-App, sondern eine Banking-App. Da haben höchste Sicherheitsstandards zu gelten.
Ist doch überall so.
Bei McDonalds (wenn der Burger wie hingerotzt aussieht, wird es bei Facebook gepostet)
Bei Apple (wurde gehackt und ein youtube Video erstellt)
Auf der Arbeit (erst die Mitarbeiter gegen den Chef aufhetzen)
Sehe ich genauso!
Ich habe mir die Software für mein Iphone gekönnt. Ist nicht schlecht aber auch nicht besser als die Mitbewerber. Was ich auf keinen Fall machen werde ist das abgleichen über eine Cloud.
Bankdaten und Passwörter haben als Datei nichts im Internet verloren.
War doch klare design Entscheidung die DB unverschlüsselt abzulegen -> kein Bug sondern Feature -> man muss kein nicht den Weg des responsible disclosure gehen um die Kunden drauf hinzuweisen, dass die wiederum sagen wir wollen das Feature nicht. Ich selber habe Banking Apps aufgegeben. Zu viel Geld ausgegeben und m.E. Leistet keine was ich will )-:
Ich finde neue Banking-Apps sehr gut. Denn bislang hat mich noch kein App-Konzept restlos überzeugt. Oft sind die Macher offenbar keine Profis was die Vorgänge im Bankgeschäft angeht, sondern in erster Linie ITler. Nix gegen einzuwenden, doch mancher bekannt gewordene Lapsus hätte durch die im Bankwesen üblichen Sicherheitskonzepte verhindert werden können. Mir graut echt vor den Leichen im Code oder Konzept, die noch keiner kennt.
Der Blog der sich der Untersuchung dieser App-Spezies annehmen möchte scheint exakt aus der gleichen IT-Ecke zu stammen: Es gibt noch nicht mal ein Impressum. Tut mir leid, aber das kann man nicht ernst nehmen. Leider.
Welcher Blog ist das denn?
Hab es daraufhin gelöscht und werde es nicht mehr nutzen. Eine Begründung das Sie das gemacht habe zwecks der Performance ist doch wohl ein schlechter Scherz, da die Apps beworben werden mit voller Verschlüsselung. Hier wird mit der Sicherheit von Bankingdaten vom Kunden gespielt. Was mich auch stört das man erst in die Einstellung rein muss um ein App Passwort zu vergeben. Das ist eine Sache die muss zwingend sein und als ersten beim starten der App kommen. Chance verspielt, gibt genügend Konkurrenzprodukte.
Ich verstehe die Aufregung nicht so ganz: Man kann doch ein Passwort setzen für die Datenbank in den Voreinstellungen in Centona. Dann ist die Datenbank geschützt.
Ich hab’s ausprobiert.
Du kannst ein Passwort setzen, aber…
* Die vorher ungeschützte Datei wird dabei nicht geschützt. Nicht mal gelöscht!
* Löscht man die ungeschützte Datei, wird sie beim Starten wieder erzeugt.
* Der Passworteintrag steht in der Datei. Es reicht diesen zu löschen!!!
Das ist so absolut Haaresträubend.
Man braucht kein Jailbreak, um auf die Apps (… und damit die zugehörigen Verzeichnisse) zuzugreifen. Irgendein Ubuntu / Fedora oder sonstige Linuxdistro reicht vollkommen aus und du kannst dir problemlos das gesamte Verzeichnis der App herunterkopieren. Bequehm mit Nautilus oder Konqueror. Inklusive der neuangelegten Verzeichnisse innerhalb der App. Daher kann man auch problemlos auf die Datenbank zugreifen.