Kleine Entwicklungspanne

Sicherheitslücke: OutBank 2 und das unverschlüsselte Passwort

Nach langer Entwicklungszeit hatte das Softwareunternehmen stoeger it gestern die Version 2.0 der Banking-Software OutBank für iOS und OS X veröffentlicht. Doch die Anwendung enthält eine schwere Sicherheitslücke: Das Passwort wird umverschlüsselt in einer Log-Datei gespeichert. Inzwischen hat stoeger it reagiert und eine Stellungnahme samt Lösung veröffentlicht.

Von   Uhr

Die Banking-Anwendung für iPhone, iPad und iPod touch konnte bereits wenige Stunden nach deren Veröffentlichung auf den ersten Platz im App Store* klettern, der Mac-Anwendung wird der zweite Platz im Mac App Store* nur durch OS X Mountain Lion verwehrt. Doch neben einer Vielzahl von Neuerungen birgt die aktuelle Version 2.0.0 für OS X auch ein großes Sicherheitsrisiko.

Wie die Entwickler auf der OutBank-Webseite schreiben, wird das in der Anmeldemaske eingegebene Passwort unverschlüsselt in der Datei /var/log/system.log protokolliert. Die Protokolierung habe man aus Versehen aus der Testversion in die finale Version übernommen.

Bis das Update im Mac App Store bereitsteht, sollte aus diesem Grund nach jeder Verwendung von OutBank das System-Protokoll manuell gelöscht werden. Dies funktioniert über die Terminal-App, die sich im Programme-Ordner unter Dienstprogramme befindet. Geben Sie im Terminal folgenden Befehl ein und bestätigen Sie diesen mit der Eingabetaste:

sudo -i -- 'cd /var/log && grep -vE "OutBank\[" system.log > system.log.clean && mv system

Die Entwickler haben sich für die Panne entschuldigt und versprechen die Beseitigung des Problems für die in Kürze bereitstehende Version 2.0.1. Die iOS-Version für iPhone, iPad und iPod touch ist nicht betroffen.

*=Partnerlink

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Sicherheitslücke: OutBank 2 und das unverschlüsselte Passwort" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Hat der Entwickler nicht vor etwa 2 Jahren mal zugegeben, von Datensicherheit eigentlich keine Ahnung zu haben? Oder irre ich mich da?

Das war der Entwickler von iControl !

Stimmt! Ich hab jetzt iControl gegooglet und das gleich gefunden. Hab den falschen verunglimpft! :( Sorry!

Das ist mal Peinlich^^

Die UI der Version 2 ist auch ein Griff ins Klo :/ Die Banking Software für den Mac habe ich gleich wieder abgesetzt. Es gibt viele Alternativen, die fast alles besser machen. Und solch eine Sicherheitslücke bei einem Bankingprogramm ist einfach untragbar.

UPDATE!! UPDATE!!!!
Wo ist das Update????
Soetwas sollte eigentlich Überstunden für die Entwickler bedeuten!! So ein Update darf keine 24 Stunden auf sich warten lassen!!

Gut wäre es den ganzen Befehl zu posten:

sudo -i -- 'cd /var/log && grep -vE "OutBank\[" system.log > system.log.clean && mv system.log.clean system.log && if [[ -f system.log.0.bz2 ]]; then for a in system.log.*.bz2; do bunzip2 $a && grep -vE "OutBank\[" ${a%.*} > ${a%.*}.clean && mv ${a%.*}.clean ${a%.*} && bzip2 ${a%.*} ; done; fi; rm -f /var/log/asl/*.asl'

Das war mit eines der schlimmsten Updates, die ich je gesehen habe!
Ich habe ewig viele Abstürze mit der OutBank 2 (beim Einrichten von Konten, beim Kontorundruf und und und), dazu dieses Sicherheitsleck ("aus Versehen aus der Testversion" - kann ich mir bei so einem Wichtigen Feature nicht vorstellen) und dazu eine UI, die zum Weglaufen aussieht.

Die Kommentare für diesen Artikel sind geschlossen.