{"id":103480,"date":"2016-10-19T13:03:30","date_gmt":"2016-10-19T11:03:30","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=103480"},"modified":"2016-10-19T13:03:59","modified_gmt":"2016-10-19T11:03:59","slug":"phototan-apps-kompromittiert-videos-zeigen-angriff-in-aktion","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/phototan-apps-kompromittiert-videos-zeigen-angriff-in-aktion-103480\/","title":{"rendered":"photoTAN-Apps kompromittiert: Videos zeigen Angriff in Aktion"},"content":{"rendered":"

Informatikern der Friedrich-Alexander-Universit\u00e4t in Erlangen ist ein Angriff auf die Photo-Tan-Apps mehrerer Deutscher Banken gegl\u00fcckt. Dar\u00fcber informiert die Forschungsgruppe um Dr. Tilo M\u00fcller jetzt unter der \u00dcberschrift<\/a> „On App-based Matrix Code Authentication in Online Banking“. <\/p>\n

\"Phototan\"<\/a><\/p>\n

Neben dem Paper (PDF-Download<\/a>) zur Attacke auf die neuen TAN-Systeme, die unter anderem von der Deutsche Bank, der Commerzbank, der Comdirect und der Norisbank eingesetzt werden, haben die IT-Experten auch zwei Videos ver\u00f6ffentlicht, die die Auswirkungen der gefundenen Schwachstelle dokumentieren. <\/p>\n

So ist es den Forschern (unter Laborbedingungen) gelungen, aktuelle \u00dcberweisungen auf fremde Konten umzuleiten und bereits ausgegebene Foto-TANs f\u00fcr \u00dcberweisungen an sp\u00e4teren Zeitpunkten einzusetzen. <\/p>\n

Auf ihrer Sonderseite<\/a> zum Thema erkl\u00e4ren die Forscher: <\/p>\n

Seit seiner Einf\u00fchrung setzt das deutsche Online-Banking auf Zwei-Faktor-Authentifizierungsverfahren, die kontinuierlich um zus\u00e4tzliche Sicherheitsmerkmale erg\u00e4nzt wurden. In j\u00fcngster Vergangenheit wurden jedoch App-basierte Authentifizierungsverfahren popul\u00e4r und begannen, etablierte Systeme wie chipTAN zu ersetzen. <\/p>\n

Im Gegensatz zu chipTAN, das dedizierte Hardware zur sicheren Legitimierung von Transaktionen verwendet, laufen Authentifizierungs-Apps auf Multifunktionsger\u00e4ten wie Smartphones und Tablets und sind somit der Bedrohung durch Malware ausgesetzt. Diese Sicherheitsanf\u00e4lligkeit tritt insbesondere dann in Kraft, wenn die Online-Banking-App und die Authentifizierungsanwendung beide auf demselben Ger\u00e4t laufen, das auch als mobiles Banking bezeichnet wird. […]<\/p><\/blockquote>\n

Auf Nachfrage der S\u00fcddeutschen<\/a> haben sich die ersten Banken inzwischen zwar ge\u00e4u\u00dfert, die neuen Erkenntnisse jedoch nicht direkt adressiert: „Richtig angewendet sind alle Legitimationsverfahren sicher.“ Der von den Forschern durchgef\u00fchrte Angriff sei der Bank nicht bekannt.<\/p>\n

Manipulating photoTAN (Commerzbank)<\/h2>\n