N26 ist gerade in aller Munde und beim kommenden 33c3 wird es auch einen spannenden Vortrag über die Sicherheitslücken geben. Kürzlich bin ich selbst über einen Bug gestolpert, den ich hier beschreiben möchte:

Appversion 3.0.6 (11093d4)
Android 6.0.1

Bei einer Moneybeam Überweisung kann eine einzelne Transaktion reproduzierbar mehrfach ausgeführt werden. Dazu reicht schnelles
Mehrfachklicken des „Bestätigen“ Buttons im „Transaktion bestätigen“ Dialog. Die selbe Transaktion wird dann entsprechend oft ausgeführt. Der Empfänger erhält den Betrag mehrfach, der Sender sieht allerdings nur eine Transaktion. Lediglich der aktuelle Kontostand zeigt das Saldo der abgebuchten Beträge an.

Ich finde es besonders ärgerlich, dass der Sender die doppelte Transaktion nicht sieht. Wenn ein Angreifer Zugriff auf auf die N26 App hat, kann er sich so fast unbemerkt einfach den doppelten oder vielleicht sogar den x-fachen Betrag überweisen. Wenn man es so schafft aus unauffälligen -10€ auf einmal -100€ zu machen, ist das natürlich unschön.

Der Bug existiert auch bei Geldanfragen. Allerdings ist es hier eher unspannend, weil der Angefragte alle Anfragenduplikate sieht und ablehnen kann.

Allerdings habe ich es bisher nur geschafft eine Transaktion doppelt auszuführen.

Von N26 habe ich nach der Bugmeldung folgendes bekommen:

Hey Sabine,

Thank you so much for the report. If you find other stuff, keep it coming :)
If you later find non-security related bugs, you can also send an email to XXX.
Ich finde es etwas seltsam, dass doppelte Transaktionen offensichtlich nicht „security related“ sind.