Abo
  • Services:

Fintech: Die geschwätzige API von N26

Banking mit dem Smartphone klingt innovativ und bequem. Doch immer wieder gibt es Sicherheitsprobleme - jetzt hat es N26 getroffen. Die API des Unternehmens war überaus geschwätzig.

Artikel veröffentlicht am ,
Bei N26 gab es Probleme mit der Sicherheit.
Bei N26 gab es Probleme mit der Sicherheit. (Bild: N26)

Das Fintech-Startup N26 (früher: Number26) hat offenbar eine sehr geschwätzige API, die möglichen Angreifern viel über die Kunden verrät. Das hat Vincent Haupert auf dem 33C3 demonstriert (Video). Außerdem zeigte er einige andere Angriffe auf die Kontoverwaltung per App. Bei einigen von Haupert vorgestellten Angriffen handelte es sich um Gedankenspiele, andere waren tatsächlich in der Praxis erfolgreich. Die Probleme wurden mittlerweile seitens des Herstellers behoben.

Inhalt:
  1. Fintech: Die geschwätzige API von N26
  2. Tausende Übereinstimmungen in gehackten Dropbox-Accounts

N26 nutzt nur eine einzige App, um den Nutzer zu authentifizieren und die eigentlichen Transaktionen durchzuführen. Das ist, ähnlich wie die Authentifikation über zwei Apps auf einem Gerät, aus Sicherheitsgründen grundsätzlich nicht zu empfehlen. Doch neben dieser konzeptionellen Schwäche hat N26 weitere Probleme - die vor allem die Implementierung der App betreffen.

API verrät Nutzerinfos

Denn die API verrät deutlich mehr Informationen über die Nutzer, als sie eigentlich sollte. Viele der in der API enthaltenen Informationen werden aber an verschiedenen Orten genutzt, um sicherheitskritische Funktionen durchzuführen, etwa das Unpairing eines vertrauten Gerätes, mit dem Zahlungen durchgeführt werden können.

Wenn Nutzer ein solches vertrautes Gerät haben, können sie einfach per Siri Geld an N26-Kontakte versenden. Das funktioniert nur mit einem solchen registrierten Gerät - eigentlich. Denn auch in diesem Fall hebelt die API Sicherheitsfunktionen aus. Denn wer die API unter api.n26.de direkt anspricht, kann Überweisungen auch auf einem nicht vertrauten Gerät durchführen. So gelang es Haupert nach eigenen Angaben, 1.000 Zahlungen über einen Cent innerhalb von nur einer halben Stunden anzuweisen, ohne dass die Betrugserkennung von N26 angeschlagen hätte.

Stellenmarkt
  1. BRZ Deutschland GmbH, Nürnberg
  2. über duerenhoff GmbH, Raum Essen

Erst nach drei Wochen sei eine entsprechende Meldung versendet worden, in der auch mit einer Deaktivierung des Accounts gedroht wurde. Allerdings wurde diese E-Mail nicht an den Sender, sondern an den Empfänger des Geldes gesendet. "Das ist, als ob Yahoo-Nutzer eine Mail bekommen, weil sie Spam empfangen haben", sagte Haupert. Doch es könnten nicht nur einfach unautorisierte Zahlungen durchgeführt werden - sondern auch der gesamte Account übernommen werden, weil N26 weitere Fehler macht.

Tausende Übereinstimmungen in gehackten Dropbox-Accounts 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 34,99€

NobodZ 29. Dez 2016

Klar, ein toter Wachhund ist auch Abschreckung. ;)

NobodZ 29. Dez 2016

... als Dinosaurier Banken. Banking is necessary, Banks are not Oder...

jdf 29. Dez 2016

Dummfug, denn du kannst im Jahr 2016 nicht garantieren, dass die von dir verwendete...

jdf 29. Dez 2016

Wobei man noch hinzufügen sollte, dass Geld abheben nach dem 5. mal satte 2¤ pro...

x00x 28. Dez 2016

Ich empfehle jeden den Vortrag anzusehen: https://media.ccc.de/v/33c3-7969...


Folgen Sie uns
       


Coup Elektroroller in Berlin - Kurzbericht

Coup lädt bis zu 154 Akkus in Berlin an einer automatischen Ladestation für 1.000 Elektroroller auf.

Coup Elektroroller in Berlin - Kurzbericht Video aufrufen
Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

Amazon Alexa: Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
Amazon Alexa
Echo Sub verhilft Echo-Lautsprechern zu mehr Bass

Amazon hat einen Subwoofer speziell für Echo-Lautsprecher vorgestellt. Damit sollen die eher bassarmen Lautsprecher mit einem ordentlichen Tiefbass ausgestattet werden. Zudem öffnet Amazon seine Multiroom-Musikfunktion für Alexa-Lautsprecher anderer Hersteller.

  1. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  2. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark
  3. Alexa-Soundbars im Test Sonos' Beam und Polks Command Bar sind die Klangreferenz

    •  /