iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 416 Artikel

Uni Erlangen

photoTAN-Apps kompromittiert: Videos zeigen Angriff in Aktion

Artikel auf Mastodon teilen.
18 Kommentare 18

Informatikern der Friedrich-Alexander-Universität in Erlangen ist ein Angriff auf die Photo-Tan-Apps mehrerer Deutscher Banken geglückt. Darüber informiert die Forschungsgruppe um Dr. Tilo Müller jetzt unter der Überschrift „On App-based Matrix Code Authentication in Online Banking“.

Phototan

Neben dem Paper (PDF-Download) zur Attacke auf die neuen TAN-Systeme, die unter anderem von der Deutsche Bank, der Commerzbank, der Comdirect und der Norisbank eingesetzt werden, haben die IT-Experten auch zwei Videos veröffentlicht, die die Auswirkungen der gefundenen Schwachstelle dokumentieren.

So ist es den Forschern (unter Laborbedingungen) gelungen, aktuelle Überweisungen auf fremde Konten umzuleiten und bereits ausgegebene Foto-TANs für Überweisungen an späteren Zeitpunkten einzusetzen.

Auf ihrer Sonderseite zum Thema erklären die Forscher:

Seit seiner Einführung setzt das deutsche Online-Banking auf Zwei-Faktor-Authentifizierungsverfahren, die kontinuierlich um zusätzliche Sicherheitsmerkmale ergänzt wurden. In jüngster Vergangenheit wurden jedoch App-basierte Authentifizierungsverfahren populär und begannen, etablierte Systeme wie chipTAN zu ersetzen.

Im Gegensatz zu chipTAN, das dedizierte Hardware zur sicheren Legitimierung von Transaktionen verwendet, laufen Authentifizierungs-Apps auf Multifunktionsgeräten wie Smartphones und Tablets und sind somit der Bedrohung durch Malware ausgesetzt. Diese Sicherheitsanfälligkeit tritt insbesondere dann in Kraft, wenn die Online-Banking-App und die Authentifizierungsanwendung beide auf demselben Gerät laufen, das auch als mobiles Banking bezeichnet wird. […]

Auf Nachfrage der Süddeutschen haben sich die ersten Banken inzwischen zwar geäußert, die neuen Erkenntnisse jedoch nicht direkt adressiert: „Richtig angewendet sind alle Legitimationsverfahren sicher.“ Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

Manipulating photoTAN (Commerzbank)

Stealing photoTAN (Deutsche Bank, Commerzbank, Norisbank, Comdirect)

via fefe

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
19. Okt 2016 um 13:03 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    18 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ja, das ist schön, liebe Forscher. Wendet euch an den Hersteller und verunsichert nicht die Masse. Danke.

  • Ich halte eine gut verschlüsselte TAN Liste in der Banking App immer noch für das sicherste weil nur lokal gespeichert. Abgesichert durch die Verschlüsselung und ein Banking App Kennwort und dem Geräte Kennwort sollte das reichen. Hinzu kommt das zB bei dreimaliger Falscheingabe des Kennworts der Banking App die TAN Liste einfach gelöscht wird. Aber die Banken halten das für unsicher und schicken die Authentifizierungsinfos lieber durchs Internet. Na ja….

  • … insbesondere dann in Kraft, wenn die Online-Banking-App und die Authentifizierungsanwendung beide auf demselben Gerät laufen,“

    Wer bitte ist denn auch so blöd und macht das??? Davor warnt jede Bank, wenn man sich für ein solches TAN-Verfahren anmeldet.

    Wieder einmal unnötige Panikmache …

    • Naja, die Deutsche Bank hat beispielsweise eine Banking App, direkt auf die eigene PhotoTAN App umschaltet und von dort die TAN abgreift und wieder in die Transaktion einträgt.
      Zumindest bei einem iOS Gerät im Originalzustand sollte das Sandboxing derartige Kompromittierungen verhindern können.

      • Nö, der Schmu wird an anderer Stelle getrieben. Da schützt das iOS Sandbox System leider nicht.

  • … zumal ich niemals ein Android-Gerät in irgendeiner Form (Online-Banking oder TAN-Lesegerät) für meine Bankgeschäfte nutzen würde.

  • Das Angriffszenario basiert auf zwei Voraussetzungen, die im Regelfall nicht erfüllt sind:

    1) Banking UND PhotoTAN auf DEMSELBEN Gerät – das verbietet normalerweise jede Bank.
    2) Rootzugriff auf dem Gerät (gerootet oder gehackt oder gejailbreakt).

    M.E. für die Praxis viel Lärm um nichts.

  • Bei der Commerzbank ist es seit kurzem möglich , dass die Banking App die Photo App auf dem selben gerät selbständig öffnet und somit die Überweisung ohne zweites Gerät möglich ist.. das ist einfach, aber i h werde das jetzt wohl mal schnell ausschalten

  • Ein Grund mehr keine Android Handys zu kaufen und keine Jailbrakes auf iOS Geräten durchzuführen.

  • Mit ist schleierhaft weshalb immer wieder neue, regelmäßig als kompromittiert enttarnte TAN-Verfahren lanciert werden.

    Sie tragen meiner Meinung nach schon den Keim des Problems in sich: die Generierung oder Übergabe der TAN findet auf dem Handy, über eine angreifbare Verbindung oder vorgefertigte, auf dem Gerät abgelegte Daten statt.

    Ich jedoch habe mit dem iPhone auf der einen Seite und einem autarken TAN-Generator/Bankkarte, der nicht manipuliert werden kann (zumindest nicht online per Schadsoftware) auf der anderen, ein sicheres und komfortables System.

    Weshalb sollte man, wenn man den Schwerpunkt auf Sicherheit legt, eines der anderen Systeme Ersinnen bzw. vorziehen wollen?

    Ich weiß, dass auch für den TAN-Generator schon zumindest 1 – nennen wir es hypothetisches Angriffs-Szenario ersonnen worden ist.

    Dennoch ist keines der Nachfolge-Systeme auch nur einen Hauch besser.
    Eher im Gegenteil.

    Quester

  • Tja, die PhotoTAN ist somit nur unwesentlich sicherer als der klassische Überweisungsbeleg auf dem jeder Trottel eine gefälschte Unterschrift platzieren kann.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38416 Artikel in den vergangenen 6253 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven