N26, zuvor als Number26 bekannt, bietet seinen Kunden ein für Smartphones ausgelegtes, komplett per App steuerbares Girokonto an. Größter Pluspunkt der Direktbank ist die unkomplizierte, schnelle Verwaltung des Kontos: Die Eröffnung soll lediglich acht Minuten beanspruchen und die darüber getätigten Transaktionen lassen sich binnen Sekunden einsehen. Auf dem 33. Chaos Communication Congress demonstrierte Vincent Haupert einige von ihm entdeckte Sicherheitslücken bei der Nutzer-Authentifizierung dieses Systems. Mithilfe eines Smartphones konnte er beispielsweise auf ein bei der Direktbank geführtes Konto und den Sofort-Kreditrahmen in Höhe von 2000 Euro zugreifen.
Im Gespräch mit Netzpolitik erläuterte Haupert einige der von ihm aufgedeckten Mängel: „Wir konnten zum Beispiel Transaktionen manipulieren, also vom Nutzer durchgeführte Überweisungen an ein anderes Konto mit einem ganz anderen Betrag umlenken. Seit iOS 10 ist es zudem bei N26 möglich, Transaktionen über Apples iPhone-Sprachassistenten Siri auszuführen. Durch nachlässige Implementierung wurden diese Transaktionen bislang jedoch nicht signiert, weshalb es Angreifern nur mit dem Wissen der Login-Daten möglich war, eigene Transaktionen zu tätigen — selbst wenn man gar kein iPhone besitzt.“
Wie heise online berichtet, wurden besagte Mängel bereits am 25. September über den Chaos Computer Club an N26 übermittelt. Das Unternehmen hat sich für die Hinweise bedankt und die Schwachstellen eigenen Angaben zufolge bis Mitte Dezember geschlossen. Außerdem wurde ein „Bug Bounty“-Programm initiiert, um etwaige Risiken in Zukunft schneller ausmachen zu können. Ob das System seinen Kunden auf diese Weise langfristige Sicherheit bieten kann, wird die Zukunft zeigen.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
