sicherheit-pixabay-cc0-777×422

Mobiles Banking – pushTAN Verfahren nach wie vor angreifbar


Die Sparkasse hatte bereits vor einigen Monaten mit Lücken beim PushTAN Verfahren zu kämpfen und auch bei den mobilen Apps anderer Banken gab es Probleme. Die damalige Lücke wurde relativ schnell geschlossen, das grundsätzliche Problem von PushTAN bleibt aber bestehen: Wenn Transaktion und TAN auf einem Gerät generiert oder empfangen werden, reicht der Angriff auf eben dieses Gerät um das Verfahren auszuhebeln. Da selbst über sichere App-Stores teilweise Schadsoftware ausgeliefert wird und sich Nutzer selbst kaum schützen können, ist das ein echtes Problem.

Das diese Angriffe nach wie vor möglich sind, wurde von den IT-Sicherheitsforscher Vincent Haupert und Tilo Müller der Friedrich-Alexander Universität Erlangen-Nürnberg (FAU) auf dem 32. Chaos Communication Congress (32C3) demonstriert. Trotz TÜV Zertifizierung war die Manipulation kein Problem. Die Sicherheitssysteme der Apps selbst liefen dabei weitgehend ins Leere. Damit ist die Nutzung von Online Banking auf dem Handy zumindest auf diese Weise eher problematisch.

Die Nutzung von zwei getrennten Geräten für Transaktion und TAN-Generierung ist daher dringend zu empfehlen.

Den kompletten Vortrag im Original gibt es hier:

Mobiles Banking – pushTAN Verfahren nach wie vor angreifbar

Original: https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.