Die Sparkasse hatte bereits vor einigen Monaten mit Lücken beim PushTAN Verfahren zu kämpfen und auch bei den mobilen Apps anderer Banken gab es Probleme. Die damalige Lücke wurde relativ schnell geschlossen, das grundsätzliche Problem von PushTAN bleibt aber bestehen: Wenn Transaktion und TAN auf einem Gerät generiert oder empfangen werden, reicht der Angriff auf eben dieses Gerät um das Verfahren auszuhebeln. Da selbst über sichere App-Stores teilweise Schadsoftware ausgeliefert wird und sich Nutzer selbst kaum schützen können, ist das ein echtes Problem.
Das diese Angriffe nach wie vor möglich sind, wurde von den IT-Sicherheitsforscher Vincent Haupert und Tilo Müller der Friedrich-Alexander Universität Erlangen-Nürnberg (FAU) auf dem 32. Chaos Communication Congress (32C3) demonstriert. Trotz TÜV Zertifizierung war die Manipulation kein Problem. Die Sicherheitssysteme der Apps selbst liefen dabei weitgehend ins Leere. Damit ist die Nutzung von Online Banking auf dem Handy zumindest auf diese Weise eher problematisch.
Die Nutzung von zwei getrennten Geräten für Transaktion und TAN-Generierung ist daher dringend zu empfehlen.
Den kompletten Vortrag im Original gibt es hier:
Mobiles Banking – pushTAN Verfahren nach wie vor angreifbar
Original: https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking
Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:
Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Telegram: Appdated Twitter Channel
--------------------------------------------------
Technikaffin seit den Zeiten von Amiga 500 und C64 – mittlerweile aber eher mit deutlichem Fokus auf die Bereich Mobilfunk und Telekommunikation. Die ersten Artikel im Telco Bereich habe ich bereits 2006 geschrieben, seit dem bin ich dem Thema treu geblieben und nebenbei läuft mittlerweile auch noch ein Telefon- und Smartphone Museum um die Entiwcklung zu dokumentieren.
