Abo
  • Services:

Fintech: Die geschwätzige API von N26

33C3

Banking mit dem Smartphone klingt innovativ und bequem. Doch immer wieder gibt es Sicherheitsprobleme - jetzt hat es N26 getroffen. Die API des Unternehmens war überaus geschwätzig.

Artikel veröffentlicht am ,
Bei N26 gab es Probleme mit der Sicherheit.
Bei N26 gab es Probleme mit der Sicherheit. (Bild: N26)

Das Fintech-Startup N26 (früher: Number26) hat offenbar eine sehr geschwätzige API, die möglichen Angreifern viel über die Kunden verrät. Das hat Vincent Haupert auf dem 33C3 demonstriert (Video). Außerdem zeigte er einige andere Angriffe auf die Kontoverwaltung per App. Bei einigen von Haupert vorgestellten Angriffen handelte es sich um Gedankenspiele, andere waren tatsächlich in der Praxis erfolgreich. Die Probleme wurden mittlerweile seitens des Herstellers behoben.

Inhalt:
  1. Fintech: Die geschwätzige API von N26
  2. Tausende Übereinstimmungen in gehackten Dropbox-Accounts

N26 nutzt nur eine einzige App, um den Nutzer zu authentifizieren und die eigentlichen Transaktionen durchzuführen. Das ist, ähnlich wie die Authentifikation über zwei Apps auf einem Gerät, aus Sicherheitsgründen grundsätzlich nicht zu empfehlen. Doch neben dieser konzeptionellen Schwäche hat N26 weitere Probleme - die vor allem die Implementierung der App betreffen.

API verrät Nutzerinfos

Denn die API verrät deutlich mehr Informationen über die Nutzer, als sie eigentlich sollte. Viele der in der API enthaltenen Informationen werden aber an verschiedenen Orten genutzt, um sicherheitskritische Funktionen durchzuführen, etwa das Unpairing eines vertrauten Gerätes, mit dem Zahlungen durchgeführt werden können.

Wenn Nutzer ein solches vertrautes Gerät haben, können sie einfach per Siri Geld an N26-Kontakte versenden. Das funktioniert nur mit einem solchen registrierten Gerät - eigentlich. Denn auch in diesem Fall hebelt die API Sicherheitsfunktionen aus. Denn wer die API unter api.n26.de direkt anspricht, kann Überweisungen auch auf einem nicht vertrauten Gerät durchführen. So gelang es Haupert nach eigenen Angaben, 1.000 Zahlungen über einen Cent innerhalb von nur einer halben Stunden anzuweisen, ohne dass die Betrugserkennung von N26 angeschlagen hätte.

Stellenmarkt
  1. Universität Konstanz, Konstanz
  2. MSA Technologies and Enterprise Services GmbH, Berlin

Erst nach drei Wochen sei eine entsprechende Meldung versendet worden, in der auch mit einer Deaktivierung des Accounts gedroht wurde. Allerdings wurde diese E-Mail nicht an den Sender, sondern an den Empfänger des Geldes gesendet. "Das ist, als ob Yahoo-Nutzer eine Mail bekommen, weil sie Spam empfangen haben", sagte Haupert. Doch es könnten nicht nur einfach unautorisierte Zahlungen durchgeführt werden - sondern auch der gesamte Account übernommen werden, weil N26 weitere Fehler macht.

Tausende Übereinstimmungen in gehackten Dropbox-Accounts 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Urheberrechtsreform
    Die zehn Mythen des Leistungsschutzrechts
  2. Video on Demand
    RTL will Netflix und Amazon Prime Video angreifen
  3. Kartendienst
    Google-Autos fahren wieder durch Deutschland
  4. Rekord
    VW I.D. R gewinnt Pikes Peak vor Verbrennern
  5. Vor Abstimmung
    Demos gegen Leistungsschutzrecht und Uploadfilter
Anzeige
Spiele-Angebote
  1. 9,99€
  2. 6,66€
  3. 16,99€
  4. 179€
Kommentarübersicht
Re: Mein Lieblings Startup ist "Mymetzger69" aus...
NobodZ 29. Dez 2016

Klar, ein toter Wachhund ist auch Abschreckung. ;)

Re: Wenn Bank-Amateure und IT-Amateure...
NobodZ 29. Dez 2016

... als Dinosaurier Banken. Banking is necessary, Banks are not Oder...

Re: Da kommt man aus dem Kopfschütteln nicht mehr...
jdf 29. Dez 2016

Dummfug, denn du kannst im Jahr 2016 nicht garantieren, dass die von dir verwendete...

Re: Unterschied zu Direktbanken
jdf 29. Dez 2016

Wobei man noch hinzufügen sollte, dass Geld abheben nach dem 5. mal satte 2¤ pro...

Offenbart grundlegende Unkenntnis
x00x 28. Dez 2016

Ich empfehle jeden den Vortrag anzusehen: https://media.ccc.de/v/33c3-7969...

Folgen Sie uns
       
Saugen oder Glitzern in Vampyr - Livestream

Es geht hoch her in London anno 1918, wie die Golem.de-Redakteure Christoph und Michael am eigenen, nach Blut lächzenden Körper erfahren.

Saugen oder Glitzern in Vampyr - Livestream Video aufrufen
E3 2018
Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen
Fairphone
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel

    Siri
    Deutsche Siri auf dem Homepod im Test: Amazon und Google können sich entspannt zurücklehnen
    Deutsche Siri auf dem Homepod im Test
    Amazon und Google können sich entspannt zurücklehnen

    In diesem Monat kommt der dritte digitale Assistent auf einem smarten Lautsprecher nach Deutschland: Siri. Wir haben uns angehört, was die deutsche Version auf dem Homepod leistet.
    Ein Test von Ingo Pakalski

    1. Patentantrag von Apple Neues Verfahren könnte Siri schlauer machen
    2. Siri vs. Google Assistant Apple schnappt sich Googles KI-Chefentwickler
    3. Digitaler Assistent Apple will Siri verbessern
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /