Banking-App FinanzAssist: Doch nicht so sicher?

17. November 2014 Kategorie: Backup & Security, Internet, geschrieben von:

Wir sind von den Jungs von Securityhandle angeschrieben worden. Sie weisen auf ihre Erkenntnisse in Bezug auf die Banking-App FinanzAssist hin. Eine kostenlose Banking-App, die sich den Claim „Die sicherste Online-Banking-App“ auf die Fahnen geschrieben hat, zudem ist man TÜV-zertifiziert.

finanzassi0

FinanzAssist ist ein Angebot der Versicherung Cosmosdirekt und wie erwähnt kostenlos. Statt die Daten innerhalb der App zu speichern und die Bank direkt zu kontaktieren, laufen laut Aussagen von Securityhandle sämtliche Bankdaten inklusive PIN / TAN direkt über einen Server der Versicherung, zudem soll die App anfällig für Man-in-the-Middle-Attacken sein.

Weiterhin werden Finanzdaten im Klartext oder Base64 kodiert übertragen. FinanzAssist ist anscheinend auch keine komplette Eigenentwicklung, sondern soll Abhängigkeiten zu Buhl Data besitzen, mehrfach werden die Server des Unternehmens kontaktiert. Anmerkung am Rande: hinter Buhl Data versteckt sich auch die Banking-App Finanzblick.

Das Fazit in Sachen Sicherheit fällt demnach kritisch aus:

Unter den zertifizierenden Augen des TÜVs (“Datenschutz geprüft”) ist es also möglich mit der “sichersten Banking-App” FinanzAssist:

*seine Finanz(zugangs)daten nur SSL-verschlüsselt und ungeschützt gegen Man-In-The-Middle Angriffe im Klartext durch das Internet an einen Dritten zu schicken und damit gegen die AGBs der Banken zu verstoßen.

*das Kundenverhalten zu erfassen, wenn dieser nicht, sofern möglich, nachtraglich und aufwendig dagegen Einspruch erhebt.

*Server zu verwenden, die unterirdisch schlechte SSL Verbindungen zulasssen und damit weitere Angriffe möglich machen?

Falls euch die Ausführungen interessieren – und sie sind wirklich interessant, dann findet ihr hier den kompletten Beitrag.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25478 Artikel geschrieben.