seeseekey.net - Invictus Deus Ex Machina

Vor eini­gen Tagen kam die Ver­sion 2.0 der Anwen­dung Out­bank her­aus. Dabei han­delt es sich um eine Ban­king Soft­ware für Mac OS X und iOS. Aller­dings hatte sich in die Ver­sion ein schwe­rer Feh­ler ein­ge­schli­chen. So wurde das Pass­wort wel­ches zu loka­len Ver­schlüs­se­lung der Daten benutzt wird, im Klar­text in die „system.log“ geschrie­ben, was dann im Bei­spiel so aussieht:

Jan 17 09:17:03 delphi.localdomain OutBank[537]: Open Store:Core Data key:123456->abcdefghijklmnopqrstuvwxyzABCDEF

Neben die­sem Pro­ble­men hatte die erste Ver­sion dank iCloud Syn­chro­ni­sie­rung auch mit Pro­ble­men wie dop­pel­ten Umsät­zen und ähn­li­chem zu kämp­fen. Pro­ble­ma­tisch an dem Feh­ler im Log ist auch das Mac OS X von Zeit zu Zeit das ganze archi­viert und es so dazu kom­men kann, das die­ses Pass­wort an meh­re­ren Stel­len zu fin­den ist. Das glei­che trifft auch auf die Kom­bi­na­tion mit Back­u­p­sys­te­men wie Time Machine zu. Um nach dem Update auf Out­bank die ent­spre­chen­den Log­ein­träge zu ent­fer­nen wird von „sto­e­ger it“ fol­gende Zeile emp­foh­len wel­che man im Ter­mi­nal aus­füh­ren sollte:

sudo -i -- 'cd /var/log && grep -vE "OutBank\[" system.log > system.log.clean && mv system.log.clean system.log && if [[ -f system.log.0.bz2 ]]; then for a in system.log.*.bz2; do bunzip2 $a && grep -vE "OutBank\[" ${a%.*} > ${a%.*}.clean && mv ${a%.*}.clean ${a%.*} && bzip2 ${a%.*} ; done; fi; rm -f /var/log/asl/*.asl'

Wit­zig sind in die­sem Zusam­men­hang Aus­sa­gen von Tobias Stö­ger aus der Zeit­schrift SFT (Spiele | Filme | Tech­nik) wo er auf die Frage ob Out­bank sicher ist unter ande­rem wie folgt ant­wor­tet:

Der Arti­kel bezog sich mal wie­der auf das unsi­chere Android-OS. […] Hinzu kom­men noch unsere Sicher­heits­maß­nah­men, wie auto­ma­ti­sche Pass­wort­sperre oder ver­schlüs­selte Datenbank.

Das war dann wohl ein Fall von pau­scha­ler Aus­sage zum fal­schen Zeit­punkt. Natür­lich stellt sich die Frage warum (wenn auch nur für Debug­zwe­cke) Pass­wör­ter über­haupt im Klar­text gespei­chert wer­den. Auch war keine Aus­kunft zu erhal­ten ob die neue Ver­sion von Out­bank die Berei­ni­gung der Dateien sel­ber vor­nimmt. Zur Sicher­heit sollte man dies also auf alle Fälle manu­ell nach­ho­len und anschlie­ßend das ent­spre­chende Pass­wort ändern.

Wei­tere Infor­ma­tio­nen gibt es unter:
http://www.outbank.de/outbank-os-x-mac-sicherheitshinweis-zu-version-2–0-0/
http://www.heise.de/mac-and-i/meldung/Outbank-2-mit-Passwort-Leck-1786837.html

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>