Thema "Re: Sicherheit der Apps" in Website & Apps

Sicherheit der Apps

dermarkus — Tue, 16 Aug 2016 07:51:32 GMT

Hallo,

habe gerade in der banking App (iOS) an einer Umfrage teilgenommen und da kam die Frage auf, wie sehr ich der App und ihrer Sicherheit vertraue. Eher gar nicht, würde ich sagen, denn es gibt keine öffentlich bekannten Audits. Bisher haben sich die Mitbewerber ja nicht unbedingt mit Ruhm bekleckert (Bsp: http://www.golem.de/news/onlinebanking-sparkassen-app-fuer-pushtan-verfahren-wieder-gehackt-1512-118225.html ) da wäre es doch schön, wenn die comdirect/Commerzbank hier die Vorreiterrolle übernimmt

Liebe Grüße,

Markus

Re: Sicherheit der Apps

SMT_Erik — Tue, 16 Aug 2016 08:50:10 GMT

Hallo Markus,

wobei in unserer banking App die parallele Nutzung des photoTAN-Verfahrens nicht möglich ist. Das müsste die Sache aus deiner Sicht dann doch sicherer erscheinen lassen. Oder?

Gruß aus Quickborn,

Erik

Re: Sicherheit der Apps

Zargoras — Tue, 16 Aug 2016 13:04:02 GMT

Also wenn du die Banking app meinst, und nicht die mobile app, dann sehe ich das ganz anders, da ist die website hundert tausend mal unsicherer! Hbci/fints ist ein standartisiertes Protokoll, was nur auf die richtigen anfragen und antworten reagieren kann, die Datenbank in der app ist verschlüsselt, und in einer sandbox Umgebung wodurch die app auch nur sehr spezifische Kommunikationen durchführen kann (z.b. Mit der kamera) bei der website, gibt es gefühlt ein hunderttausend wege, dich alleine auf eine gefälschte seite zu führen, die Banking app, hat aber die eine adresse des servers gespeichert, und kontrolliert die zertifikate. Woher weist du beim online banking, das da kein keylogger installiert ist, oder das jemand remote access hat? Die liste der schwachstellen eines pc Banking lässt sich quasie beliebig fortführen, da jede bank da ihr eigenes süppchen kochen kann (ganz u d garnicht standardisiert) natürlich dem einigermaßen achtsamen Nutzer simd diese gefahren auch eher gering, und die bank hat auch Schutzmechanismen etc. Aber ich finde eine Banking app der ich vertraue schlicht überlegen, was Sicherheit angeht, und bedenke, das in der Theorie ein unabhängiges tan Medium genutzt werden sollte...

Re: Sicherheit der Apps

dermarkus — Tue, 16 Aug 2016 14:06:16 GMT

Ohne externes Audit weiß niemand, ob all die möglichen Sicherheitsmaßnahmen auch korrekt implementiert wurden. Ich kann der App daher nur soweit vertrauen, wie ich der comdirect im Allgemeinen vertraue (tue ich ja, mein Geld ist da).

Letztendlich wären Audits und ein Bug-Bounty-Programm, auch für die Webseite, eine schicke Sache

Re: Sicherheit der Apps

Zargoras — Tue, 16 Aug 2016 16:54:05 GMT

Wenn es um die banking app an sich geht, musst du einfach mal bei stoeger it nachhören, das ist ne whitelabel version von Outbank DE.