iphone-ticker.de — Alles zum iPhone. Seit 2007. 19 490 Artikel
   

Vormerken: TAN-Schwachstellen in Banking-Apps

Artikel auf Google Plus teilen.
6 Kommentare 6

Kurzer Nachtrag zu unserem Hinweis auf den diesjährigen Chaos Communications Congress in Hamburg. Solltet ihr euch die iOS-App zum Streamen der über 100 zwischen dem 27. und dem 30. Dezember angekündigten Hacker-Vorträge bereits geladen haben, dann merkt euch den folgenden Vortrag vor.

weise

Unter der Überschrift „(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking“ wird Vincent Haupert eines der immer häufiger anzutreffenden Tan-Verfahren auseinandernehmen.

Auf seiner Webseite, auf der Haupert auch eine Video-Demo, anbietet kritisiert der Uni-Mitarbeiter die Sicherheit des neuen Verfahrens und demonstriert, dass Angriffe, die die vom Nutzer ausgelöste Transaktionen abfangen und vor ihrer Bestätigung nach belieben manipulieren können, möglich sind.

Der Talk ist für den 28. Dezember um 16:45 (Kalender-Link) angesetzt.

Neue App-basierte TAN-Verfahren sollen die etablierten Verfahren ablösen und Onlinebanking komfortabler machen. Die Notwendigkeit von dedizierter Hardware entfällt und Transaktionen können mit nur einem mobilen Endgerät durchgeführt werden. Was von den Kreditinstituten als Feature beworben wird, erweist sich in unserer Untersuchung als fatal. In einem Proof-of-Concept-Angriff demonstrieren wir die Manipulation von Transaktionsdaten und zeigen die konzeptionelle Schwäche von App-basierten TAN-Verfahren.

App Icon
Congress 33C3
Thomas Kollbach
Gratis
31.02MB
Dienstag, 15. Dez 2015, 16:22 Uhr — Nicolas
6 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Hmm über den Browser besser? Hab mal gehört das man Onlinebanking niemals im w-lan Netz machen sollte?

    • Das ist zu pauschal, es ist ein großer Unterschied ob zu Hause im gesicherten WLAN oder in einem ungesicherten im Café/Hotel.

    • In öffentlichen Wlan sollte man generell am vorsichtigsten sein. Dort ist die Angriffsmöglichkeit halt höher als im Heimischen (wo nur Du das Passwort kennst) oder über Mobilfunk.

  • War das Konzept dabei nicht auf einen Root Zugriff angewiesen? Dann wäre es für uns ja erstmal uninteressant.

  • Der Angriff erfordert die Manipulation der beteiligten Apps und funktioniert nur unter Android. Für iOS können wir es gleich wieder vergessen.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 19490 Artikel in den vergangenen 3387 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2016 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven