Guten Tag, Ich habe in der Consorsbank App für Android einen Bug entdeckt: Wenn man beim Login an seine korrekten PIN weitere Ziffern anhängt, so wird dieser dennoch akzeptiert. Beispiel: Meine PIN lautet (nicht in Wirklichkeit, das ist nur ein erfundenes Beispiel) 12345 Login mit PIN 12345 Erwartetes Ergebnis: Login möglich Tatsächliches Ergebnis: Login möglich Login mit PIN 12345678 Erwartetes Ergebnis: Login nicht möglich Tatsächliches Ergebnis: Login möglich Login mit PIN 12345000 Erwartetes Ergebnis: Login nicht möglich Tatsächliches Ergebnis: Login möglich Ich finde das ist ziemlich kritisch, insbesondere wirft es die Frage auf, wie die PIN übertragen / verglichen wird. Wird hier bereits vor Absenden abgeschnitten, weil die Länge fix ist? (Ist sie das?) Falls nicht: Wie wird denn dann auf dem Server verglichen? Üblicherweise vergleicht man ja einen in der Datenbank gespeicherten Hash und nicht die echten Passwörter, aber das lässt sich mit dem hier beobachteten Problem nicht vereinbaren. Ich finde das gerade für eine Bank nicht besonders vertrauenserweckend und würde empfehlen, das Problem schnellstmöglich zu beheben. Viele Grüße
... Mehr anzeigen
