Home Allgemein Sicherheitsforscher kritisieren App-TAN Verfahren beim Online-Banking

Sicherheitsforscher kritisieren App-TAN Verfahren beim Online-Banking

von Bastian Ebert

Bei vielen deutschen Banken gibt es mittlerweile neben den normalen TAN Verfahren (mTAN oder ChipTAN) auch die Möglichkeit, die Transaktionsodes per App auf dem Handy anzufordern. Dabei kann man mit dem Gerät im Browser die Banking-Aktion ausführen und holt sich dann per App (auf dem gleichen Handy) eine passende TAN zur Autenthifizierung.  Forscher kritisierten diese Vorgehensweise, denn sie halten den Schutz des Kontos per AppTAN (oder pushTAN) für unsicher.

Der Grund liegt dabei nicht an den genutzen Apps sondern ist grundlegender: Sowohl Banking als auch die App-Anforderung werden auf einem Gerät durchgeführt. Es reicht also ein Endgerät zu übernehmen um im Zweifel Zugriff auf das Online-Konto einer Nutzers zu bekommen. Die Forscher haben einen solchen Angriff auf ein Smartphone* samt Übernahme der Kontodaten auch gleich demonstriert. Im Fokus waren hier die App der Sparkasse und die S-pushTAN App.

Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz schreiben dazu:

Wir haben die Sicherheit solcher App-basierten TAN-Verfahren am Beispiel des pushTAN-Verfahrens der Sparkassen ausgewertet und attestieren dem Verfahren gravierende konzeptionelle Schwächen. Der bewusste Verzicht auf eigenständige Hardware zur Transaktionsauslösung und -bestätigung macht das Verfahren für Schadsoftware zu einer leichten Beute. Zur Demonstration dieser Schwächen haben wir einen Angriff entwickelt, der vom Nutzer ausgelöste Transaktionen abfängt und vor ihrer Bestätigung nach Belieben manipulieren kann.

In vielen Fällen hat ein Nutzer die Sicherheit des Smartphones gar nicht mehr in den eigenen Händen. Selbst wenn man sich an alle Sicherheitstipps für Handys hält – Systemlücken wie Stagefright-Eploits liegen außerhalb des eigenen Einflussbereiches und erlauben erfolgreiche Angriffe auf die Geräte.

Daher sollte das Sicherheitssystem für Bankingprodukte so ausgestattet sein, dass es mit Sicherheitsproblemen auf den Endgeräten umgehen kann. Nur so ließe sich verhindern, dass mobiles banking immer mehr in den Fokus von Angreifern gerät, die dort leichte Beute finden.

2 Kommentare

Haupt Oktober 26, 2015 - 08:58

Unsinn, bei der Commerzbank z.B. ist das sauber getrennt.Es gibt zwar eine App, aber die funktioniert nur mit browserbasiertem Banking auf einem anderen Gerät. Auf dem gleichen Gerät kann ich nicht überweisen und gleichzeitig einen Code erzeugen.

Antwort
Mobiles Banking - pushTAN Verfahren nach wie vor angreifbar | Appdated Dezember 31, 2015 - 10:00

[…] Sparkasse hatte bereits vor einigen Monaten mit Lücken beim PushTAN Verfahren zu kämpfen und auch bei den mobilen Apps anderer Banken gab es Probleme. Die damalige Lücke wurde relativ […]

Antwort

Diesen Artikel kommentieren