2228999

photoTAN-Apps einiger Banken sind unsicher

20.10.2016 | 12:41 Uhr |

Wissenschaftler haben eine schwere Sicherheitslücke in Banking-Apps nachgewiesen, die auf das photoTAN-Verfahren setzen.

Sicheres Online-Banking wird durch eine Reihe an Pin/Tan-Verfahren gewährleistet, auch Zwei-Faktor-Authentifizierung genannt. Das komfortable photoTAN-Verfahren ist eines dieser Verfahren. Bei diesem System erhält der Bank-Kunde seinen Bestätigungscode für seine Überweisung durch das Abfotografieren einer Grafik mit einer Spezial-App. Wie beim chipTAN-Verfahren soll so Onlinebanking vor Hackern sicher sein. Forscher haben aber bei der Umsetzung einige Sicherheitslücken gefunden .

Die für Android verfügbaren Apps von Norisbank, Commerzbank, Deutsche Bank (und nicht nur diese) haben laut Forschern der Uni Erlangen eine konzeptionelle Schwäche: Die Apps führen sowohl die Finanztransaktion durch, als auch die Erstellung der TAN. Das Zwei-Faktor-Verfahren wird dadurch unterlaufen, denn eigentlich müsste die TAN durch ein getrenntes Gerät erstellt werden. Ist ein Mobilgerät durch Malware infiziert, was bei älteren Android-Versionen relativ einfach ist, kann ein Hacker bei diesen App deshalb die Kommunikation zwischen Bank und Nutzer manipulieren. In einem simulierten Angriff zeigen den Forschern wie ein solcher Angriff ablaufen könnte: Durch Zugriff auf die Banking-App verändern die Hacker dazu sowohl die Anforderung des photoTAN-Codes als auch die Darstellung der Transaktions-Details in der App. Das Geld landet so unerkannt nicht beim geplanten Empfänger, sondern beim Hacker. Die Banking-Apps verwenden zwar Techniken für die Erkennung von Manipulationen der App, was aber laut den Forschern nur begrenzt gegen ein kompromittiertes System helfe. Die gleichen Forscher hatten vor einem Jahre bereits ähnliche Schwächen im pushTAN-Verfahren nachgewiesen. Ausdrücklich gilt aber nicht das Verfahren als unsicher, sondern die Umsetzung in den Apps. So wären etwa eigenständige photoTAN-Geräte und chipTAN völlig sicher. Untersucht wurden die Android-Versionen, allerdings könnten auch die iOS-Versionen angegriffen werden. iOS sei zwar sicherer, die Spyware Pegasus hätte aber die Anfälligkeit auch von iOS für Angriffe dieser Art gezeigt.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2228999