Unklare Datenübertragung: Sparkassen-App in der Kritik
Sicherheits-Analytiker haben am Wochenende die Datenübertragung der offizielle iPhone-App der Sparkasse kritisiert.
In ihrer aktuellen Version 2.4.1 überträgt die Sparkasse+ App „sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.“
Darauf verweist die Webseite Securityhandle in ihrem Eintrag „Sparkasse+ App überträgt ungefragt sensible Daten“.
Die Anwendung der Sparkasse überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.
Auf Nachfrag des Beitrags-Autoren @securityhandle reagiert der offizielle Twitter-Account der Sparkasse Deutschland derzeit noch ausweichend, verspricht aber die schnelle Klärung der aufgeworfenen Fragen.
@securityhandle Das können wir aus dem Stegreif nicht beantworten. Wir fragen bei den Kollegen von der @StarFinanz nach.
— Sparkasse (@Sparkasse_de) 30. Mai 2014
Die mitgeschnittenen Datenübertragungen, die zu der berechtigten Nachfrage geführt haben, könnt ihr hier einsehen. Wir behalten den Fall auf dem Radar und melden uns sobald relevante Informationen vorliegen.
Bei der zufälligen Analyse des Netzwerktraffics der Sparkasse+ App mit Charles, ist mir aufgefallen, dass jedes Mal beim Start der App meine comdirect Benutzerkennung, alle Kontonummern und Kreditkartennummern an einen Server bei der StarFinanz übertragen werden. Nachdem ich weder in der App, noch in den Datenschutzbestimmungen oder in den AGBs etwas darüber gefunden habe, wendete ich mich mit folgendem Bild am Freitag morgen per Twitter an die @Sparkasse_de und die @starfinanz.
