Community

Antworten
Highlighted
glutengo
Aufsteiger
Beiträge: 3
Registriert: 30.07.2020
Nachricht 1 von 9 (260 Ansichten)

Consorbank App Android: Login mit falscher PIN möglich

[ Bearbeitet ]

Guten Tag,

 

Ich habe in der Consorsbank App für Android einen Bug entdeckt:

Wenn man beim Login an seine korrekten PIN weitere Ziffern anhängt, so wird dieser dennoch akzeptiert.

Beispiel:

Meine PIN lautet (nicht in Wirklichkeit, das ist nur ein erfundenes Beispiel) 12345

 

Login mit PIN 12345

Erwartetes Ergebnis: Login möglich

Tatsächliches Ergebnis: Login möglich

 

Login mit PIN 12345678

Erwartetes Ergebnis: Login nicht möglich

Tatsächliches Ergebnis: Login möglich

 

Login mit PIN 12345000

Erwartetes Ergebnis: Login nicht möglich

Tatsächliches Ergebnis: Login möglich

 

Ich finde das ist ziemlich kritisch, insbesondere wirft es die Frage auf, wie die PIN übertragen / verglichen wird. Wird hier bereits vor Absenden abgeschnitten, weil die Länge fix ist? (Ist sie das?) Falls nicht: Wie wird denn dann auf dem Server verglichen? Üblicherweise vergleicht man ja einen in der Datenbank gespeicherten Hash und nicht die echten Passwörter, aber das lässt sich mit dem hier beobachteten Problem nicht vereinbaren.

 

Ich finde das gerade für eine Bank nicht besonders vertrauenserweckend und würde empfehlen, das Problem schnellstmöglich zu beheben.

 

Viele Grüße

Antworten
0 Likes
Highlighted
glutengo
Aufsteiger
Beiträge: 3
Registriert: 30.07.2020
Nachricht 2 von 9 (223 Ansichten)

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Auf der Website geht das übrigens auch
Antworten
0 Likes
Highlighted
stocksour
Autorität
Beiträge: 1550
Registriert: 21.07.2017
Nachricht 3 von 9 (216 Ansichten)

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Im AT geht es dann natürlich auch.

Und bei meiner Sporgosse kann ich hinten auch dran hängen was ich will.

 

Wer die ersten 5 richtig macht, hat gewonnen; wer mehr tippt, bekommt auch keine Extrapunkte, weil das systemseitig ignoriert wird.

Antworten
0 Likes
Highlighted
glutengo
Aufsteiger
Beiträge: 3
Registriert: 30.07.2020
Nachricht 4 von 9 (186 Ansichten)

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Was bedeutet hier AT?

 

Dass die Länge fix auf 5 ist, wusste ich nicht. In dem Fall kann natürlich vor jedem Vergleich alles nach dem fünften Zeichen abgeschnitten werden und dann kann man wie gewohnt den Hash vergleichen (oder welcher Mechanismus auch immer hier zum Einsatz kommt).

 

Ich habe im Netzwerkverkehr beim Web Login nachgesehen. Daraus wird ersichtlich, dass die PIN nicht clientseitig abgeschnitten wird, sondern komplett übertragen wird.

 

Vielleicht wäre es einfacher und transparenter, das Eingabefeld dann gleich auf 5 Zeichen zu beschränken.

Antworten
0 Likes
Highlighted
immermalanders
Autorität
Beiträge: 3513
Registriert: 06.02.2015
Nachricht 5 von 9 (176 Ansichten)

Betreff: Consorbank App Android: Login mit falscher PIN möglich

@glutengo 

[...] Vielleicht wäre es einfacher und transparenter, das Eingabefeld dann gleich auf 5 Zeichen zu beschränken. [...]

In den Handy-Apps bzw. im AT (ActiveTrader) mag eine Begrenzung des Kennwort-Feldes sinnvoll erscheinen. Ich bin mir nicht sicher, ob bei einem reinen Watchlist/Community-Account, das Kennwort auch auf 5 Zeichen begrenzt ist. Wenn nicht, würden sich diese Nutzer, bei einer Begrenzung der Eingabe auf 5 Zeichen, nicht mehr anmelden können.

 

Antworten
0 Likes
Highlighted
SmithA1
Enthusiast
Beiträge: 280
Registriert: 05.12.2016
Nachricht 6 von 9 (158 Ansichten)

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Ich würde meinen, dass das kein Sicherheitsrisiko darstellt. Entweder jemand kennt mein Pin oder nicht. Bruteforce Attacken sind ohnehin nicht möglich und selbst wenn, würde die aufsteigend verlaufen; also 1-stelling dann 2-stellig etc. Und wenn die 5 Stellen geknackt sind hat man das Passwort. Keiner wird den Angriff noch weiterlaufen lassen.
Antworten
0 Likes
Highlighted
CB_Stephan
Moderator
Beiträge: 319
Registriert: 23.05.2018
Nachricht 7 von 9 (136 Ansichten)

Re: Betreff: Consorbank App Android: Login mit falscher PIN möglich

Hallo @Community,

vielen Dank für die Beiträge zu diesem Thema.

Sicherheit ist bei der Consorsbank ein sehr wichtiges Thema.

Aus diesem Grund habe ich Ihre Anfragen noch einmal an die zuständige Abteilung weitergeleitet.

Sobald uns eine Rückmeldung vorliegt, werden wir Sie an dieser Stelle selbstverständlich umgehend informieren.

Viele Grüße

CB_Stephan
Community Moderator

Highlighted
urvater
Enthusiast
Beiträge: 616
Registriert: 22.11.2016
Nachricht 8 von 9 (73 Ansichten)

Betreff: Consorbank App Android: Login mit falscher PIN möglich

@SmithA1 Ich sehe dies etwas anders. Wenn man weiß, dass nur die ersten fünf Zeichen wichtig sind, hat man zumindest rein theoretisch eine höhere Chance. Auch wenn es nur theoretisch "leichter" ist.

Im schlimmsten Fall gibt es noch eine "Lücke" und dann kann es zu einem Problem werden. Sicherlich muss man aktuell jetzt nicht gleich in Panik verfallen. Geändert sollte die Prüfung aber auf jeden Fall werden.

Antworten
0 Likes
Highlighted
SmithA1
Enthusiast
Beiträge: 280
Registriert: 05.12.2016
Nachricht 9 von 9 (31 Ansichten)

Betreff: Consorbank App Android: Login mit falscher PIN möglich

@urvater könnte so sein, ich denke aber, dass sämtliche Hack-Tools nicht erst mit 8 Stellen durchrechnen sondern man fängt immer mit einer Stelle an. Und das erweitert man dann sukzessive um eine Stelle. Demnach wäre es auch nicht theoretisch leichter.
Nagel mich nicht fest, ich bin jetzt kein Hack-Profi; Hatte mich aber mal eine Zeit lang darin eingelesen (aus Interesse).
Aber das ist eh nur Theorie und ich denke in der Praxis muss man sich keine allzu großen Gedanken machen.
Ich stimme aber mit dir überein, dass man den Fehler beseitigen sollte.
Antworten
0 Likes