In der vergangenen Woche sorgte die Meldung, dass es einigen Forschern gelungen war, das App-basierte TAN-Verfahren der Sparkasse zu knacken, wie in Forscher demontieren App-TANs der Sparkasse.
Der entscheidende Nachteil dieser komfortablen App-TANs: Der komplette Vorgang einer Online-Banking-Transaktion findet auf einem einzigen Gerät statt. Somit genügt es auch, in dieses eine Gerät einen Trojaner einzuschleusen, um betrügerische Transaktionen durchzuführen. Dass diese Gefahr keineswegs nur theoretisch ist, belegen Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz mit einer Demonstration.
Angriffe, wie die von den Forschern simulierten, sind zwar keinesfalls leicht durchzuführen, dürften für “Profis” aber kein unlösbares Problem sein:
Solche Angriffe sind nicht trivial. Man benötigt unter anderem einen speziellen Root-Exploit gegen die auf dem Smartphone eingesetzte Android-Version. Außerdem muss man die Apps analysieren und ihre Funktionsweise verstehen. Zwei bis drei Wochen benötigten die Forscher für diese Analysen. Doch “professionelle Online-Banking-Betrüger könnten das durchaus auch schaffen”, erklärten Haupert und Müller gegenüber heise Security.
Die von den Forschern durchgeführten Angriffe hätten nur veraltete Versionen des S‑pushTAN-App-Verfahrens betroffen. Mit der neuen Version 1.05 habe sich die Erkennnng von gerooteten Geräten geändert. Dieses Szenario hatten jedoch bereits die Forscher berücksichtigt.
Allerdings stellen die beiden auch klar, dass der Anwender selbst damit keineswegs auf der sicheren Seite ist. Denn das Handy muss keineswegs gerootet sein, damit der demonstrierte Angriff möglich ist. Es genügt vollkommen, wenn die verwendete Betriebssystem-Version oder eine der Apps eine Sicherheitslücke aufweist, über die sich eine Malware-App die benötigten Root-Rechte verschaffen kann. Laut einer aktuellen Studie der Uni Cambridge weisen rund 88 Prozent aller Android-Systeme solche Sicherheitslücken auf. Um einen ähnlichen Angriff wirklich zu verhindern, müsste die Sparkasse folglich einen Großteil der potenziellen Nutzer aussperren.
Das Thema wird auch auf heise kontrovers diskutiert. Hier einige Beispiele:
- Das ist kein erfolgreicher Angriff!
- Schafft die pushTAN einfach wieder ab
- Das ist eine wirtschaftliche Entscheidung
Crosspost vom DAE-Blog