Outbank 2 legt Nutzer-Passwort im Klartext auf dem Mac ab [Update]
Update: Inzwischen erklärt man auch im Outbank-Blog das von uns beschriebene Sicherheitsproblem und informiert darüber, wie sich die betroffene Datei von Hand bereinigen lässt.
„Darf nicht passieren – ist leider passiert“. So reagieren die Outbank-Macher beim Kurznachrichtendienst Twitter auf den Hinweis des Bloggers Chris Marquardt, der eine Sicherheitslücke in der gestern ausgegebenen Banking-Software Outbank 2.0 offengelegt hat.
Das Problem: Outbank 2 sichert das Nutzer-Passwort zur Datenbank-Verschlüsselung der HBCI-Applikation im Klartext im System-Log, das auf den betroffenen Rechnern ohne Probleme eingesehen werden kann.
Chris schreibt:
Wie es sich für einen Geek gehört, bin ich bei der Fehlersuche natürlich auch im Syslog gelandet, denn dort schreiben viele Programme Hinweise über das, was sie gerade tun oder in welche Fehlermeldungen sie sich verheddert haben. […] Zu meiner Überraschung (eher zu meinem Horror) steht dort jetzt mehrfach im Klartext (ja, KLARTEXT!!) mein OutBank-Passwort. Einfach so. Also ob es das normalste der Welt wäre, Passwörter unverschlüsselt in Logfiles zu schreiben.
Die Sicherheitslücke betrifft alle Outbank-Nutzer die Version 2.0.0 (ifun.de berichtete) im Einsatz haben und soll mit dem nächsten Update der Desktop-Anwendung behoben werden. Die betroffene Log-Datei findet ihr im Dateisystem unter /var/log/system.log
Na toll,
Habe gerade das update gemacht
Leute, warum traut ihr irgendeiner Software eines Drittanbieters eure sensiblen Daten an????
Selber Schuld!
Es gibt keine Sicherheit in unserer Zeit, alles ist jederzeit einsehbar, macht euch das endlich bewusst. Lauft zur Bank und gut ist, ihr faulen Säcke ;)
Und den Banken passieren keine Fehler? Nein, irgendwo muss jeder seinen Weg finden, in dieser hektischen Welt ein paar Optimierungen einzubauen. Wenn ich alles händisch oder zu Fuß machen würde, weil’s sicherer, gesünder, schöner usw. ist, dann bräuchte mein Tag 48 Stunden. Sorry, dann halt auch mal was riskieren. Oje, ich darf mein Systems.log nicht im Internet posten! Hey, es gibt Schlimmeres!
Fehler passieren immer, aber mir ist’s lieber das es der Bank passiert und diese mich entschädigt, statt nen Dummen Spruch via Twitter wahrzunehmen. Aber jeder wie er will ;)
Aber du hast natürlich nicht unrecht, alles wird schneller und hektischer, da will man halt mal hier und da etwas Zeit sparen. Man sollte nur aufpassen wo man diese spart, nicht das alle Arbeit umsonst war, weil das ersparte weg ist ;)
Du hast bestimmt auch keine Scheckkarte und zahlst am liebsten mit Naturalien…
Ich zahle Bar auf die Kralle ;)
Peinlich :-)
Na danke!!!! :((
Ist ja mal wieder ein Beispiel an Sicherheit… Aber hey, was soll’s geht ja nur um meine BANKDATEN!!!
Und wie immer kann man nur sagen: selbst dran schuld. Wer mehr sicherheit haben will muss es direkt bei der Bank machen und nicht noch über ne extra Software…
oh man, was für ein kommentar. klugsch….
Ja und du surfst im Terminal, oder?!
Nee, auf die Bank geh ich nicht – da spionieren sie mit Ferngläsern den PIN aus und überfallen danach erst Dich, dann die Bank
Leider geil.
Wie kann den sowas passieren bitte??? :/
sowas verstehe ich einfach nicht! immer wieder die gleichen fehler, überall hört man es, liest man es und trotzdem werden die programmierer nicht schlauer :(
Vor allem, weil das ja sogar nicht das erste mal bei denen so ist. Bei der ersten Version von iOutbank war damals gar nichts verschlüsselt und die haben erst reagiert, als der große Aufschrei kam. Und jetzt passiert denen nochmal so etwas. Ich bleibe weiterhin lieber auf Abstand zu OutBank, so schön die Software auch aussieht. Aber zum zweiten mal zeigen sie sehr deutlich, dass sie einfach nicht die Erfahrung haben mit so sensiblen Daten umzugehen.
Das ist so allerdings nicht richtig. Bitte nochmal bei heise.de nachlesen.
@Icke2: Ja? Hab ich. Und nun?
http://www.heise.de/security/m.....47040.html
„Sowohl iControl als auch iOutBank legen beim Start unverschlüsselte Daten im Dateisystem ab, die dann beim Beenden wieder verschlüsselt werden sollten. Das ging bei beiden Apps in manchen Situationen schief – mit dem Resultat, dass wichtige Daten im Klartext auf dem iPhone gespeichert waren. So legte etwa iOutBank exportierte TAN-Listen unverschlüsselt auf dem iPhone ab. Die wanderten dann beim nächsten Synchronisieren via iTunes auch im Klartext auf den PC, wo sie dann auch ein Banking-Trojaner abgreifen könnte.“
Frechheit!
Sehr peinlich… Wird die App über den Mac App Store verkauft oder direkt als Download? Für die Fehlerbehebung bracht man vermutlich 5 Minuten. Dann noch 3-4 Wochen bis die neue Version von Apple im App Store freigegeben wird und die Sache ist aus der Welt :-)
Unglaublich!
Pff, da wird fürs Testen einer Beta-Version Geld verlangt, in dem einfach der Beta-Status entfernt wird. Sauerei, nicht mehr und nicht weniger.
iPad 1 wird auch nicht mehr unterstützt… so kann man bisher zufriedene Kunden ganz schnell vergraulen.
Die Firma hat wahrscheinlich schon genug Kunden.
Schönes Eigentor und sehr ärgerlich für alle User.
Die haben fast 1 Mio Downloads. Die machen daraus noch ein Gewinnspiel. Einzusehen auf deren Seite.
Outbank ist langsamer,zeigt Umsätze doppelt an, saldiert falsch und ist jetzt auch noch unsicherere. Erfolgsgeschichten klingen anders.
Zum Glück habe ich ein Gedächtnis in dem meine Kennwörter gespeichert sind.
nur blöd, dass sie da auch im Klartext abgespeichert sind ;)
hehe, ja zu blöd, gibt ja mittlerweile „Brainjaner“
Und deshalb schützt du nichts mit Passwörter oder wie darf ich das verstehen? Verwechselst du grad Outbank mit 1Password?
Das ist echt peinlich! Dem Entwickler sollte man auf seinen Allerwertesten hauen ;)
Wer das Teil jetzt noch nutzt ist einfach nur dämlich.
Schon alleine wegen der Aussage von den Machern würde ich es nichtmehr nutzen!
was meinst du? die haben den fehler direkt und klar eingestanden, was willst du mehr? die werden wohl ein paar überstunden einlegen müssen und dann geht das als sicherheitsupdate bestimmt auch relativ fix.
Du gehörst zu den dummen ;) jeder der sich verarschen lässt ist ein gefundenes fressen für die.
Klasse! Die OutBank Macher machen alles was nur möglich ist, um ihr Kunden zu enttäuschen!
Gäbe es eine gute Alternative, würd ich sofort umsteigen!
Finanzblick?
Ist eine Alternative, aber nicht unbedingt besser. Das ist sicher auch Geschmacksache, vor allem beim Interface und wie man kategorisiert, aber nach etlichen Wochen intensiver Nutzung von Finanzblick gefällt mir Outbank 2 deutlich besser. Und Finanzblick hatte auch schon etliche Bugs, die dann behoben wurden. Genauso wie Outbank bald gefixt wird. Vielleicht sollten wie die Apps nicht danach allein beurteilen, wie sie am 1. Tag abschneiden?
Banking 4i: https://itunes.apple.com/de/app/banking-4i/id508439497
Die beste Alternative … KEINE SOFTWARE BENUTZEN für Sensible Daten!
Hoffentlich nur Desktop und nicht auch noch iphone iPad oder iCloud ? – anscheinend wurde hier vorschnell gehandelt ohne Sicherheitsrevante stellen zu testen!
Sowas darf bei einer Banking Software einfach nicht passieren :-(
Erstmal wäre das auf dem ipad noch nicht so schlimm. Man kommt im „normalfall“ nicht an die Klartexte ran. Aber wenn man einen Jailbreak hat, dann ist das schon eher ein Problem. Hier „könnte“ der Entwickler Vorsorge betreiben und keine Klarnamen ablegen. Dennoch ist ein Jailbreak eine Manipulation des Gerätes und dafür ist dann kein Hersteller verplichtet dafür Vorkehrungen zu treffen. Aber bei so einer sensiblen Software und der Verbreitung des Jailbreaks, sollte er es dennoch tun (das zeigt von Professionalität).
Ein Jailbreak sollte daher durch die aktuellen Ereignisse immer zweimal bedacht werden.
Mir fällt auf, dass OutBank nicht mehr mit dem TÜV-Zertifikat für Datensicherheit wirbt…
Ganz klar, Gewinne machen setzt voraus, etwas schnell an den Markt zu bringen, ein enormer Druck zu Lasten der Kunden, so wie in jeder Branche, hier geht’s Gott sei dank „nur“ um unsere Daten :-(
Bei solchen Apps sind Fehler nicht zu entschuldigen.
Das Vertrauen zur App ist jetzt auf jeden Fall gestört…
Schade
So, das wars nun endlich. Damals gekauft, nun nicht nur das Update bei iOS kostenpflichtig, sondern auch noch das. Pecunia ist kostenlos, ansehlicher was die Oberfläche angeht und dazu auch noch fehlerfreier als das Desaster hier mit Outbank… Gelöscht, und verbannt… Die werden wohl Grössenwahnsinnig langsam
na wenn du einer kostenlosen software, die noch recht unausgereift ist und mit freiwilligen-mit-mach programmierern arbeitet, mehr vertraust, dann viel spass.
Sinn und Prinzip von Open Source nicht kapiert?
Und weiter gehen die Pannen rund um Outbank
Immer wieder dieselben Fehler und nicht gerade kleine. Dann bringe ich 2.0 eben 4Wochen später raus. Ich schaue mir noch einmal StarMoney im AppStore an…
Hmm Sicherheitslücken, Abstürze der App auf Mac und iPad, fehlgeschlagen Migration der Daten … Schlechte Bewertungen im MacAppStore … Das wohl schlechteste großartig angekündigte Update !
Peinlich :D
Jetzt wird’s sich keiner mehr laden.
Und so einer Software/Firma soll ich vertrauen? Die Software kommt mir auf keinen Fall auf den Rechner/iPhone.
Zumindest für IOS gibt es mit Finanzblick eine sehr gute Alternative
Kaum… In Finanzblick schon mal ein Paypalkonto eingerichtet?
Passt zur aktuellen Apple Qualität-Die AppStore Freigabe hat den Planmäßigen Rollout gestoppt und dann nicht mal diesen Bug gefunden? Das ist ein Witz-dann kann die Signatur auch ganz abgeschafft werden..
die signatur gibt dir die sicherheit keine schadsoftware zu laden… mehr nicht.
Hier nun die Frage: Kann ein MAC mit OSX mit abwerk einstellungen übers netz gehackt werden?
welche tools / einstellungen empfielt ihr um trojaner / angriffe etc. abzuwehren?
FALLS du dir ein Antivieren-Programm lädst, dann Avira AntiVir. Kostenlos und das Beste.
ich hab sophos, ist kostenlos …aber auch die 5 jahre zuvor ohne sophos hatte ich keine virus probleme
Router mit guter Firewall, nur selektiv Ports weiterleiten. Antivirenprogramme, hm, verhindern momentan noch am ehesten die Weiterverbreitung von Windows-Viren.
Java im Browser abstellen, wenn’s nicht gebraucht wird.
Der mit Abstand wichtigste Schutz vor Trojanern ist und bleibt: Hirn einschalten, bevor man etwas runterläd und es auf dem Rechner startet.
Ich bin auch alles andere als zufrieden. Stürzt ständig ab, hat einmal all meine Kategorien gelöscht, lässt sich nicht aktualisieren ohne Absturz, auf dem iphone dauert eine Aktualisierung trotz Wlan dank iCloud ewig. Irgendwie doof! Und das mit dem Passwort darf bei einem solchen Programm wo es um so sensible Daten geht einfach nicht passieren, das ärgert mich wirklich sehr!
wie kann sowas passieren wenn die so großartig mit Tüv Sicherheitsgeprüft werbung machen??
bei der alten version war das so, bei der neuen bisher aber nicht, oder?
Ich Sage nur:’TÜV Süd‘ geprüft, die können vielleicht in Autos…
Haben die nicht auch Finanzblick geprüft?
Terminal starten, dann diese Befehle:
sudo -i
cd /var/log
grep -vE „OutBank\[“ system.log > system.log.clean && mv system.log.clean system.log
Danke Sven, guter Tipp! Ich habs gelöscht und benutze Outbank bis zum Update nicht mehr.
Immerhin klappt es bei ihm. Ich habe seit dem Update alle 2 Minuten einen Absturz. Teilweise so krass, dass der Mac sich aufgehängt hat. Ein weiteres Desaster ist die Zusammenführung der iCloud-Daten mit der iPad App. Das führt zu totalem Chaos in der App mit tweilweise dreimal dem gleichen Konto. Der Versuch ein Konto zu löschen führt dann auch wieder (wie tausend andere Aktionen) zu einem Absturz.
Man sollte eben NIE am ersten Tag updaten.
Und was bewirkt dieser Terminalbefehl?
Der löscht das Passwort aus dem Log. Wird aber beim nächsten Mal wieder rein geschrieben, muss man also jedes Mal erneut löschen.
Bei Facebook haben die aber gerade geschrieben, dass das Update bereits an apple gesendet wurde. Siehe: https://www.facebook.com/OutBank/posts/486960994675745
Peinlich!
Deshalb nutze ich Finanzblick! Beste App! TÜV geprüft!
Mit diesem schwachsinnigen TÜV-Zertifikat wirbt iOutBank auch…
Und jetzt?!
Nur das sie diesen TÜV nicht für die neue Version haben ;-)
Finanzblick finde ich auch klasse, wünsche mir nur noch ne Mac App. dann Steige ich auch komplett um…
Finanzblick ist wirklich gut.
Einziger Kritikpunkt bei iPad Nutzung: Hochformat ist nicht möglich.
Hier schreiben einige Finanzblick ist wirklich gut.
Was mir nicht an Finanzblick gefällt:
Meine Bankdaten gehen über deren Server !!!
Steht hier http://www.finanzblick.de/date.....nschutz/
Ich finde “ Die Buchungsdaten werden anschließend verschlüsselt von Ihrer Bank zurück an den finanzblick-Server übertragen und dort verschlüsselt “ auch nicht so klasse.
Bei mir ist Finazblick genau aus dem Grund gleich wieder gelöscht geworden.
Ich möchte nicht meine Bankdaten auf deren Server übertragen haben.
Ja aber das gilt nur, wenn Du auch die WebApp nutzen möchtest …
Hach ja. Wir leben in einer tollen Welt. Man darf keine Fehler mehr machen ohne gleich komplett an den Pranger gestellt zu werden. Hätte ich Outbank auf Windows hätt ich angst. ;-)
Kommt auf die Fehler drauf an. Ein derartiger Fehler darf!!! bei einer OnlineBanking Software nicht passieren. Das ist ja nichts, was immer mal passieren kann. Gerade bei OnlineBanking Software erwarte ich, dass vor Verkauf der Software alle bejpkannten Regeln der Sicherheit eingehalten werden.
Am Pranger steht er nicht mehr. Er brennt schon!
Naja, passt zur insgesamt eher schwachen Vorstellung. Verzögerung, schlechte Kommunikation, außer Sync kaum neues. Die teure Mac-Software ist immer noch weit hinter den iOS-Versionen.
… und noch weiter hinter dem, was Banking-Software auf einem Windows-PC leistet :-(
Mein Problem: Ich zweifel konzeptionell an Outbank. Die Regeln, Auswertungen etc. sind einfach schlecht gemacht. Da fehlen Hand und Fuß.
… ich dachte, die seien TÜV-zertifiziert ?? :-)
Die neue Version auch?
Wisst ihr eigentlich wie man ein TÜV-Zertifikat erhält? Der Prüfer schaut sich für gewöhnlich die Entwicklungsdokumentation an und bewertet anhand derer ob „ordentlich“ gearbeitet wurde. Dabei sucht er speziell nach den Nachweisen, dass Vorschriften, Normen, Best-Practices eingehalten wurden. Wenn es schlimm kommt hat der Prüfer die Software um die es geht nicht mal zu gesicht bekommen. Was hat also dieser Fehler mit dem TÜV-Siegel zu tun? ;-)
Wahnsinn. Als die App und die Software gestern rauskam, war jeder begeistert. Es gibt nichts besseres as OutBank. Jetzt schaut es ein bisserl anders aus:-)
bin froh,daß ich nicht auf 2 geupdated habe,und outbank ist sowas von out,das alte habe ich auch gelöscht …..
never again
Und dann kann man halt mein Passwort sehen! Ist doch egal. Solange keiner meine Karte und chiptan Generator in die Finger bekommt.
Ganz genau. Was genau kann man mit dem Passwort für die Datenbank schon anfangen? Nämlich genau garnichts, außer man sieht die angelegten Konten. Man kann nicht mal die Kontostände abfragen. Also was soll das ganze Geschrei. Es wird ein Update geben und gut ist. Ist wie bei WhatsApp, alle tun empört, aber wenn man fragt ob die Leute was anderes benutzen = Fehlanzeige. Ich hab versucht einige von z.B. hike zu überzeugen … keine Chance. Ich zieh eher den Hut vor den Machern von Outbank auchnmal einen Fehler einzugestehen und Besserung in Aussicht zu stellen.
Danke dir. Ich dachte ich bin der einzige der noch normal denkt.
Aber in der heutigen Zeit geht es dem Menschen scheinbar nur besser wenn er sich beschweren kann…
Na dann schönen Gruß an diejenigen, die diese Passwort nicht nur für OutBank verwenden. Ich wusste bisher gar nicht, dass es auch OutBank und WhattsApp-Jünger gibt. Ich kannte bisher nur die von Apple, die alles, was Apple nicht gut macht, verteidigen müssen.
Die User empören sich über 2€ Kosten und sollen kurz nachdenken, wenn man diese Meldubg ließt? Was erwartet ihr? ;)
Ganz Deiner Meinung. Alles muss kostenlos und bugfree sein, und zwei Tage Verspätung sind eine Frechheit (so hier oft gelesen). Vertrauen gewinnt man dadurch, dass man Fehler (die überall passieren) schnell und professionell behebt. Und wer das gleiche Passwort auch woanders verwendet, sollte eh besser ganz still sein.
ist ja im Moment kein Problem da das Programm sowieso abstürzt…
ymmd! :D
Wenn Fremde Zugriff nicht nur auf meinen Rechner sondern auch noch auf meinen Useraccount haben, habe ich ganz andere Probleme…..
*sign
+1
Heftig! Hab mich jetzt erstmal komplett von Outbank befreit und nutze fürs Homebanking die Website meiner Bank.
Die Webseite der Bank also …. ob das die bessere Wahl ist, bei den vielen Sicherheitslücken bei Browsern und Java usw. Wage ich zu bezweifeln.
Applaus! Das ist eine Leistung. Der absolute Worst-Case!
warte inmer noch sehnsüchtig auf eine OS-Version von WiSo mein Geld! einfach das beste auf dem sektor, was es gibt und der einzige Grund, warum ich noch einen zusätzlichen PC besitze.
+1
Leider ist diese bei Buhl Data nicht geplant :-/
Der Terminalbefehl funktioniert bei mir nicht. Wenn ich in der Konsole anschließend mein Passwort suche wird es weiterhin (mehrfach) gefunden. Extrem ärgerlich.
Natürlich ist das ein Dummer, vermeidbarer Fehler. Aber sie haben es schnell öffentlich gemacht und stellen schnell ein Update zur Verfügung, das muss man ihnen doch anrechnen.
Wenn ich mir schaue was whats app abzieht…
Aber WhatsApp hat nix mit meinem Geld zu tun…
Ich weiß schon warum ich solche Programme nicht nutze
Pseudo Sicherheit
Nur eine Panne von vielen bei der neuen Version. Ich war lange Nutzer von Outbank. Ich werde wohl jetzt auf Starmoney umsteigen, denn so ein Fehler darf bei einer derart sensitiven Software einfach nicht passieren. Die gesamte Software kommt mir vor, als wenn Sie unter enormen Zeitdruck zusammengekloppt wurde. Keine Zeit für Penetrationschecs etc. ***kopfschüttel***
Macht doch nix. Sind genauso persönliche Daten, die bis zu einer Freiwilligen Veröffentlichung niemanden etwas angehen.
Für mich persönlich sind meine SMS/Emails sogar sensibler als die Konto Daten.
Fassen wir zusammen:
Das Anmelde-Passwort für Outbank (bzw. für die Outbank-Datenbank) wird im Klartext in die Datei /var/log/system.log geschrieben. Diese Datei ist für alle Benutzer unter OS X lesbar:
-rw-r–r– 1 root wheel 837733 18 Jan 22:23 /var/log/system.log
D.h. jeder Benutzer auf dem Mac kann problemlos das Passwort für die Datei im Klartext lesen. Als Workaround wird von stoeger-IT der Shell („Terminal“)-Befehl
sudo -i — ‚cd /var/log && grep -vE „OutBank\[“ system.log > system.log.clean && mv system.log.clean system.log && if [[ -f system.log.0.bz2 ]]; then for a in system.log.*.bz2; do bunzip2 $a && grep -vE „OutBank\[“ ${a%.*} > ${a%.*}.clean && mv ${a%.*}.clean ${a%.*} && bzip2 ${a%.*} ; done; fi; rm -f /var/log/asl/*.asl‘
vorgeschlagen, der nach jeder Benutzung von Outbank ausgeführt werden soll. Dieser Befehl löscht die betreffenden Einträge aus dem Logfile.
Das Problem ist, dass schon *während* der Benutzung das Passwort im Klartext in /var/log/system.log steht und problemlos ausgelesen werden kann! Es wird direkt nach der Eingabe ins Logfile geschrieben.
Die einzig richtige Konsequenz ist, OutBank nicht zu benutzen, so lange dieser Fehler besteht, und das sollte meiner Meinung nach auch den Kunden so mitgeteilt werden.
Das hast du doch auf Facebook schon geschrieben, oh man. Hauptsache was zu meckern. Stoeger IT behebt doch schon die Fehler und das erste update 2.01 für iOS und OSX ist schon bei Apple.
Liebe(r) cobra1OnE,
das hat weniger was mit meckern zu tun, sondern mit Aufklären. Ich werde Outbank sicherlich wieder benutzen, wenn diese Lücke geschlossen ist, da es ein super Produkt ist. Aber momentan sollte das der Durchschnittsuser nicht tun, bis das Update eingespielt ist. Meine Meinung. Kann ja jeder machen wie er will (darf dann aber auch nicht jammern, wenn doch jemand Drittes Zugriff auf sensible Daten bekommen hat).
Buenas noches.
Outbank stürzt bei mir permanent ab wenn ich die Umsätze abfrage. Da spielt die Sichheitslücke doch keine Rolle, den wenn ein Programm absolut unbrauchbar ist kann es ruhig unsicher sein. Es hat ja keinen Nutzen.
Outbank verspielt seinen guten Ruf. Finanzblick it ein Blick Wert
Hallo, kann mal bitte jemand versuchen in der Mac Version ein Konto zu löschen – bei mir folgt regelmäßig ein Absturz ??
Bestätigt