Mittwoch, 9. April 2014

Bawag Banking App und die Sicherheit: Teil 2

Ich habe soeben eine Mail von der Bawag bekommen. Laut dieser werd es in den nächsten Tagen ein Hotfix-Update für die App geben. Dieses sollte das Problem beheben.

Hier geht es noch einmal zum originalen Post:
Bawag Banking App und die Sicherheit

Dienstag, 8. April 2014

Bawag Banking App und die Sicherheit

Ich habe mir heute die Bawag iOS App auf meinem iPhone installiert und wurde nach dem ersten Login gefragt ob ich nicht ein Security-Pattern setzen will. Das habe ich natürlich gleich gemacht. Wenn ich nun via Multitasking in eine andere App wechsle und danach die Bawag App wieder öffne, muss ich vorher dieses Security-Pattern eingeben. Das selbe passiert auch, wenn ich das iPhone in den Ruhezustand bringe und danach wieder einschalte. Das sieht dann so aus:




So weit so gut...
Aber natürlich habe ich dieser Sache nicht blind vertraut und habe mir das genauer angeschaut. Ich steckte also mein iPhone an meinen Mac an und öffnete den Document Ordner der App. Das funktioniert zum Beispiel mit der Mac App PhoneView bzw. iExplorer. Für diese Prozedur muss das iPhone nicht gejailbreaked sein.
Zuerst habe ich mir die SQLite Datei EBDatabase.sqlite auf meinen Rechner kopiert und einmal durchgesehen. Das ganze scheint eine Core-Data Datenbank zu sein. Ich habe aber nichts interessantes gefunden. In der Datenbank sind eigentlich nur alle Bawag/PSK Filialen und alle Bankomaten eingetragen. Beides mit Geokoordinaten, also wenn die mal jemand benötigt... :-)
Also habe ich weiter am Gerät gesucht und im Ordner Library/Preferences wurde ich dann fündig. Dort liegt eine Datei die com.bawagpsk.mobileBanking.plist heißt und alle Einstellungen beinhaltet. Wenn man sich diese Datei dann genau ansieht entdeckt man einen Eintrag der "secretGesture8228040" benannt ist. Hmm... was könnte das wohl sein. :-)


(Ich zeige die restlichen Zeilen nicht an, da auch meine Disposer Number in Plaintext gespeichert ist)

Also habe ich das Security-Pattern am iPhone auf folgendes umgestellt und die Settings Datei erneut herunten geladen:


Der Eintrag "secretGesture8228040" sieht nun so aus.



Nun sollte der sollte eigentlich alles klar sein. :-)
Hier noch einmal eine kleine Hilfe:


Ich habe dann das ganze noch einmal mit meinem iPad versucht und dort funktionierte es auch auf die selbe Art. Der einzige Unterschied ist, dass die SettingsDatei com.bawagpsk.mobileBankingTablet.plist benannt ist. Ich finde das für eine Banking Anwendung wirklich schlimm, die App loggt sich zwar nach 15 Minuten automatisch aus, aber in 15 Minuten ist es leicht möglich das iOS Gerät an einen Rechner anzustecken und die Datei auszulesen. Also bitte liebe Bawag behebt dieses Problem! Ich habe ihnen übrigens schon vor Wochen eine Mail mit Infos geschickt, aber nie eine Antwort bekommen.

Ich habe mir auch noch das selbe kurz unter Android angesehen, aber hier schaut es zumindest so aus, dass das Securtiy-Pattern verschlüsselt gespeichert wird.


Wie sicher die Verschlüsselung ist habe ich mir aber dann nicht mehr angesehen...

Mein Rat ist, die App so lange nicht zu verwenden bis dieser Fehler behoben ist. 


Update 1:

Ich habe soeben eine Mail von der Bawag bekommen. Laut dieser werd es in den nächsten Tagen ein Hotfix-Update für die App geben. Dieses sollte das Problem beheben.