Bei vielen deutschen Banken gibt es mittlerweile neben den normalen TAN Verfahren (mTAN oder ChipTAN) auch die Möglichkeit, die Transaktionsodes per App auf dem Handy anzufordern. Dabei kann man mit dem Gerät im Browser die Banking-Aktion ausführen und holt sich dann per App (auf dem gleichen Handy) eine passende TAN zur Autenthifizierung. Forscher kritisierten diese Vorgehensweise, denn sie halten den Schutz des Kontos per AppTAN (oder pushTAN) für unsicher.
Der Grund liegt dabei nicht an den genutzen Apps sondern ist grundlegender: Sowohl Banking als auch die App-Anforderung werden auf einem Gerät durchgeführt. Es reicht also ein Endgerät zu übernehmen um im Zweifel Zugriff auf das Online-Konto einer Nutzers zu bekommen. Die Forscher haben einen solchen Angriff auf ein Smartphone samt Übernahme der Kontodaten auch gleich demonstriert. Im Fokus waren hier die App der Sparkasse und die S-pushTAN App.
Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz schreiben dazu:
Wir haben die Sicherheit solcher App-basierten TAN-Verfahren am Beispiel des pushTAN-Verfahrens der Sparkassen ausgewertet und attestieren dem Verfahren gravierende konzeptionelle Schwächen. Der bewusste Verzicht auf eigenständige Hardware zur Transaktionsauslösung und -bestätigung macht das Verfahren für Schadsoftware zu einer leichten Beute. Zur Demonstration dieser Schwächen haben wir einen Angriff entwickelt, der vom Nutzer ausgelöste Transaktionen abfängt und vor ihrer Bestätigung nach Belieben manipulieren kann.
In vielen Fällen hat ein Nutzer die Sicherheit des Smartphones gar nicht mehr in den eigenen Händen. Selbst wenn man sich an alle Sicherheitstipps für Handys hält – Systemlücken wie Stagefright-Eploits liegen außerhalb des eigenen Einflussbereiches und erlauben erfolgreiche Angriffe auf die Geräte.
Daher sollte das Sicherheitssystem für Bankingprodukte so ausgestattet sein, dass es mit Sicherheitsproblemen auf den Endgeräten umgehen kann. Nur so ließe sich verhindern, dass mobiles banking immer mehr in den Fokus von Angreifern gerät, die dort leichte Beute finden.
Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:
Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Twitter: Appdated Twitter Channel
Technikaffin seit den Zeiten von Amiga 500 und C64 – mittlerweile aber eher mit deutlichem Fokus auf die Bereich Mobilfunk und Telekommunikation. Die ersten Artikel im Telco Bereich habe ich bereits 2006 geschrieben, seit dem bin ich dem Thema treu geblieben und nebenbei läuft mittlerweile auch noch ein Telefon- und Smartphone Museum um die Entiwcklung zu dokumentieren.
Unsinn, bei der Commerzbank z.B. ist das sauber getrennt.Es gibt zwar eine App, aber die funktioniert nur mit browserbasiertem Banking auf einem anderen Gerät. Auf dem gleichen Gerät kann ich nicht überweisen und gleichzeitig einen Code erzeugen.