abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Consorbank App Android: Login mit falscher PIN möglich

Link zum Beitrag wurde kopiert.

Aufsteiger
Beiträge: 4
Registriert: 30.07.2020

Guten Tag,

 

Ich habe in der Consorsbank App für Android einen Bug entdeckt:

Wenn man beim Login an seine korrekten PIN weitere Ziffern anhängt, so wird dieser dennoch akzeptiert.

Beispiel:

Meine PIN lautet (nicht in Wirklichkeit, das ist nur ein erfundenes Beispiel) 12345

 

Login mit PIN 12345

Erwartetes Ergebnis: Login möglich

Tatsächliches Ergebnis: Login möglich

 

Login mit PIN 12345678

Erwartetes Ergebnis: Login nicht möglich

Tatsächliches Ergebnis: Login möglich

 

Login mit PIN 12345000

Erwartetes Ergebnis: Login nicht möglich

Tatsächliches Ergebnis: Login möglich

 

Ich finde das ist ziemlich kritisch, insbesondere wirft es die Frage auf, wie die PIN übertragen / verglichen wird. Wird hier bereits vor Absenden abgeschnitten, weil die Länge fix ist? (Ist sie das?) Falls nicht: Wie wird denn dann auf dem Server verglichen? Üblicherweise vergleicht man ja einen in der Datenbank gespeicherten Hash und nicht die echten Passwörter, aber das lässt sich mit dem hier beobachteten Problem nicht vereinbaren.

 

Ich finde das gerade für eine Bank nicht besonders vertrauenserweckend und würde empfehlen, das Problem schnellstmöglich zu beheben.

 

Viele Grüße

0 Likes
10 Antworten 10

Aufsteiger
Beiträge: 4
Registriert: 30.07.2020

Vielen Dank für die Erklärung, insbesondere die Bestätigung der Art der Speicherung war mir wichtig.

0 Likes
Antworten