[UPDATE 3] OutBank 2 für Mac und iOS erschienen

[Macman1309]

Ich habe ein kleines Applescript-Programm geschrieben, das zuerst Outbank startet und dann wartet, bis ihr Outbank beendet. Danach wird der im Artikel genannte Befehl ausgeführt und das Log bereinigt. Das Script könnt ihr hier runterladen. Es ist als Programm kompiliert.
Natürlich könnt ihr aber ins App-Bundle reinschauen und sehen, dass ich nichts böses mache, sondern nur den clean-Befehl wie oben beschrieben ausführe.
Nach Beendigung von Outbank und zum Bereinigen des Logs müsst ihr euer Admin-Kennwort eingeben.

Danke Michael!

 

[uuser]

danke Michael, aber es passiert nichts. Startet nicht einmal Outbank

 

[hhzapfel]

Wie kann die Sicherheitslücke ausgenutzt werden?
Kann dadurch das Konto geplündert werden?
Wenn ja, wer haftet für den Schaden?
Wer verwendet eine Bankingsoftware, obwohl er weiß, dass es eine Sicherheitslücke gibt?

 

[Michael Reimann]

danke Michael, aber es passiert nichts. Startet nicht einmal Outbank

Hmm ... liegt Outbank bei Dir evtl. nicht im Standard-App-Pfad. Sprich liegt es nicht unter "Programme"?

Hier geht das Script auf drei Macs. Aber hier liegt Outbank im "Programme" Ordner.

Habs korrgiert. Siehe unten.

 

[Michael Reimann]

Wie kann die Sicherheitslücke ausgenutzt werden?
Kann dadurch das Konto geplündert werden?
Wenn ja, wer haftet für den Schaden?
Wer verwendet eine Bankingsoftware, obwohl er weiß, dass es eine Sicherheitslücke gibt?

1. Durch Ausspähen der Log-Datei (zum Beispiel, wenn der Mac gestohlen wird)
2. Eher nicht, weil man ja immer noch TANs benötigt. Aber manchmal reichen ja schon die vorhandenen Infos, die man sehen kann.
3. Müsste man einen spezialisierten Anwalt fragen.
4. Muss jeder selber entscheiden. Wenn die Lücke bekannt gemacht wird, kann man diese Entscheidung besser treffen.

 

[Michael Reimann]

Sorry, mein Fehler. Habe eine korrigierte Fassung in die Dropbox gelegt. Diese sollte jetzt gehen. https://www.dropbox.com/sh/1bp8xvjvu1ru8av/OuR_3-TPvC

 

[hhzapfel]

Danke für die Info. So lange ich nur 2 Mal hinfallen muss, um am Terminal meiner Bank zu sein, werde ich auf Onlinebanking ganz sicher verzichten. Diese Frage stellt sich mir also nicht. Ich habe mich nur gewundert, dass hier immer noch einige mit dieser App arbeiten wollen, obwohl ihr das Update bezüglich der Sicherheitslücke schon heute Früh hier gepostet habt.
Betrifft diese Lücke eigentlich nur die OSX-Version - oder ist die auch in der iOS-Version vorhanden?

 

[TheTripleist]

In eine Bank gehen? Viel zu gefährlich, wo die doch immer wieder überfallen werden und Geldautomaten immer wieder manipuliert werden.

So, Outbank 2 ist bei mir wieder vom iPhone und iPad geflogen. Kernschrott. Langsamer als iOutbank und iCloud Sync funktioniert null. Im Gegenteil, bereits akzeptierte Umsätze erscheinen wieder als neue oder werden komplett neu geladen. Warte dann mal auf Outbank 3.

 

[Benutzer 164005]

Wie kann die Sicherheitslücke ausgenutzt werden?
Kann dadurch das Konto geplündert werden?
Wenn ja, wer haftet für den Schaden?
Wer verwendet eine Bankingsoftware, obwohl er weiß, dass es eine Sicherheitslücke gibt?

Jeder der an deinem Mac sitz und sich mit deinen Account anmelden kann (insbesondere wenn beim Systemstart kein Passwort abgefragt wird), kann in der Konsole nach deinem Passwort schauen und sich anschließend in Outbank anmelden. So könnte man innerhalb von einer Minute die Kontostände eines Freundes, Arbeitskollegen oder z.B. Familienangehörigen herausfinden.

 

[avalon2]

Outbank versucht auch auf config.outbank.de zuzugreifen, iCloud ist bei mir deaktiviert. Updates kommen ja über den App Store - schon etwas komisch!

 

[Benutzer 164005]

Outbank versucht auch auf config.outbank.de zuzugreifen, iCloud ist bei mir deaktiviert. Updates kommen ja über den App Store - schon etwas komisch!

Bin mir nicht sicher. Aber iOutbank Pro hatte zu jedem Appstart die "Konfiguration" der Bankprotokolle aktualisiert, damit die Kommunikation zwischen Bank und App funktioniert.

 

[highlite86]

Wer wirklich Wert auf Privatsphäre und Datensicherheit legt, sollte seine HDD samt der Backup-HDD verschlüsseln. Mit FileVault 2 ist das mit wenigen klicks erledigt!
Somit fällt ein Fehler wie jetzt mit Outbank auch nicht so schwer ins Gewicht, da der Bösewicht physikalischen Zugriff zum Rechner benötigt, und der dann nur Datenwirrwar zu Gesicht bekommt...
Ich bin mir fast sicher das einige die sich jetzt beschweren, zusätzlich noch ein pwd.csv pflegen...
Man stelle sich auch die Situation vor, das nur die TimeMaschine USB Platte gestohlen wird, juhuu derjenige hat dann vollen Zugriff auf alle meine Daten ohne auch nur ein Passwort zu kennen, also Verschlüsseln ist schon fast Pflicht!

 

[Mac 2.2]

Erst hochgepusht wie noch was und jetzt schon die erste Sicherheitslücke Für alles ne extra App… Naja bei mehreren Konten vlt. hilfreich, ansonsten überflüssig…

 

[TheTripleist]

Für ein Forum brauche ich kein Tapatalk, für ein Mail-Account kein Mail und für eine Nachrichtenquelle keine Reeder-App. Jedenfalls entfällt bei nur einem Account der wesentliche Vorteil dieser Art von App. Und was Online Banking angeht wurde von vielen "Fach"zeitschriften sogar empfohlen, ein Programm zu nutzen und eben nicht über einen Browser online zu gehen, da diese leichter manipuliert werden könnten. Bei den aktuellen Bugs bei Outbank könnte man hier allerdings auch diesbezüglich Zweifel bekommen.

Bisher leider ein Beispiel wie man ziemlich schnell das über Jahre aufgebaute Vertrauen verspielen kann.

OT: Das erinnert mich BTW gerade daran, dass Tapatalk 2 aufgrund (aus meiner Sicht) deutlich geringerer Mängel nach kurzer Zeit aus dem App Store zurück gezogen wurde. Im Gegensatz zu Outbank 2 läuft Tapatalk 2 bei mir äußerst stabil. Vielleicht sollte Stoeger auch mal über einen kurzfristigen Rückzug nachdenken ...

 

[Mac 2.2]

Echt werden so Programme ernsthaft empfohlen? Kann ich mir nicht vorstellen, dass die so viel sicherer sind. Mit nem gesunden Menschenverstand sollte man auch bemerken, ob man jetzt auf einer gefälschten Online-Banking Website ist oder nicht - meiner Meinung nach…

 

[TheTripleist]

Ja, werden/wurden sie. Beispiele: Etwas älter oder Aktuell. Und es geht nicht um den Besuch einer gefälschten Webseite.

 

[TempuzFugit]

Hat hier jemand Erfahrung mit einer Alternative (am Besten OSX und iOS Version)?

 

[lerav]

Star Money ist sehr gut. Dieses ist auch gerade in einer neuen Version im Mac Store erschienen. Kostet 20€ für den Mac und 0,89€ für iOS

 

[sedna]

Ich habe ein kleines Applescript-Programm geschrieben, das zuerst Outbank startet und dann wartet, bis ihr Outbank beendet. Danach wird der im Artikel genannte Befehl ausgeführt und das Log bereinigt.

Hallo Michael,

um in AppleScript zu bleiben:
Hokuspokus noch nicht fort! Hex hex hex OutBank Passwort!:

last paragraph of (do shell script "syslog -k Sender OutBank | grep 'Core Data key'| awk -F\"key:\" '{print $2}'")

EDIT: sehe gerade, die haben ihr Schnellschuss-Skript mittlerweile angepasst (*) ... solltest du auch tun...
(*) und leeren dir dafür komplett die Apple System Logs

Gruß

 

[Michael Reimann]

Habe mein Outbank-Start-Script angepasst (wie auf der Seite von Outbank angegeben). Es löscht jetzt auch das evtl. vorhandene Passwort in archivierten Log-Files. Danke für die Hinweise.
Die aktuelle Version des Scripts gibt jetzt auch ein paar Meldungen aus, damit man sieht, was gerade passiert.