Von Ralf Keuper

In der ver­gan­ge­nen Woche sorg­te die Mel­dung, dass es eini­gen For­schern gelun­gen war, das App-basier­te TAN-Ver­fah­ren der Spar­kas­se zu kna­cken, wie in For­scher demon­tie­ren App-TANs der Spar­kas­se

Die For­scher der Uni Erlan­gen kri­ti­sie­ren u.a. die Abkehr der Spar­kas­sen von der als beson­ders sicher gel­ten­den Zwei-Fak­tor-Authen­ti­fi­zie­rung. Das mTan-Ver­fah­ren ist zwar von der Bedie­nung her ein­fa­cher, aller­dings für den Preis gerin­ge­rer Sicher­heit, so die Forscher. 

Der ent­schei­den­de Nach­teil die­ser kom­for­ta­blen App-TANs: Der kom­plet­te Vor­gang einer Online-Ban­king-Trans­ak­ti­on fin­det auf einem ein­zi­gen Gerät statt. Somit genügt es auch, in die­ses eine Gerät einen Tro­ja­ner ein­zu­schleu­sen, um betrü­ge­ri­sche Trans­ak­tio­nen durch­zu­füh­ren. Dass die­se Gefahr kei­nes­wegs nur theo­re­tisch ist, bele­gen Vin­cent Hau­pert und Tilo Mül­ler von der For­schungs­grup­pe Sys­tem­si­cher­heit und Soft­ware­schutz mit einer Demons­tra­ti­on

Angrif­fe, wie die von den For­schern simu­lier­ten, sind zwar kei­nes­falls leicht durch­zu­füh­ren, dürf­ten für “Pro­fis” aber kein unlös­ba­res Pro­blem sein: 

Sol­che Angrif­fe sind nicht tri­vi­al. Man benö­tigt unter ande­rem einen spe­zi­el­len Root-Exploit gegen die auf dem Smart­phone ein­ge­setz­te Android-Ver­si­on. Außer­dem muss man die Apps ana­ly­sie­ren und ihre Funk­ti­ons­wei­se ver­ste­hen. Zwei bis drei Wochen benö­tig­ten die For­scher für die­se Ana­ly­sen. Doch “pro­fes­sio­nel­le Online-Ban­king-Betrü­ger könn­ten das durch­aus auch schaf­fen”, erklär­ten Hau­pert und Mül­ler gegen­über hei­se Security.

Inzwi­schen hat die Spar­kas­se ihr Ver­fah­ren gegen­über der vor­ge­brach­ten Kri­tik ver­tei­digt, wie es in Unsi­che­re App-TAN: Spar­kas­se ver­tei­digt ihr pushT­AN-Ban­king heisst.

Die von den For­schern durch­ge­führ­ten Angrif­fe hät­ten nur ver­al­te­te Ver­sio­nen des S‑pushT­AN-App-Ver­fah­rens betrof­fen. Mit der neu­en Ver­si­on 1.05 habe sich die Erkennnng von geroo­te­ten Gerä­ten geän­dert. Die­ses Sze­na­rio hat­ten jedoch bereits die For­scher berücksichtigt. 

Aller­dings stel­len die bei­den auch klar, dass der Anwen­der selbst damit kei­nes­wegs auf der siche­ren Sei­te ist. Denn das Han­dy muss kei­nes­wegs geroo­tet sein, damit der demons­trier­te Angriff mög­lich ist. Es genügt voll­kom­men, wenn die ver­wen­de­te Betriebs­sys­tem-Ver­si­on oder eine der Apps eine Sicher­heits­lü­cke auf­weist, über die sich eine Mal­wa­re-App die benö­tig­ten Root-Rech­te ver­schaf­fen kann. Laut einer aktu­el­len Stu­die der Uni Cam­bridge wei­sen rund 88 Pro­zent aller Android-Sys­te­me sol­che Sicher­heits­lü­cken auf. Um einen ähn­li­chen Angriff wirk­lich zu ver­hin­dern, müss­te die Spar­kas­se folg­lich einen Groß­teil der poten­zi­el­len Nut­zer aussperren.

Die Kri­tik der For­scher, so Jür­gen Schmidt auf hei­se secu­ri­ty, habe daher wei­ter Bestand. Den­noch beharrt die Spar­kas­se dar­auf, dass die Siche­rung des pushT­AN-Ver­fah­rens im Rah­men der kon­ti­nu­ier­li­chen Wei­ter­ent­wick­lung sicher­ge­stellt sei, was wie­der­um im Umkehr­schluss eigent­lich eine gute Nach­richt für die Anwen­der ist, die sich auf die Sicher­heit des Ver­fah­rens fort­an ver­las­sen kön­nen, wie hei­se secu­ri­ty etwas süf­fi­sant anmerkt. Oder wie war das sonst gemeint?

Das The­ma wird auch auf hei­se kon­tro­vers dis­ku­tiert. Hier eini­ge Beispiele: 

Das The­ma mTAN-Hacks – all­ge­mein betrach­tet – war auch Gegen­stand eines infor­ma­ti­ven c’t-Pod­casts in der ver­gan­ge­nen Woche.

Cross­post vom DAE-Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert