Forscher warnen vor Apps 26.10.2015, 18:12 Uhr

So können Hacker Bankgeschäfte per Smartphone hacken

Das Übertragen von pushTAN-Nummerns aufs Handy fürs Online-Banking ist offenbar noch viel unsicherer als bislang gedacht. Nachdem gerade bekannt geworden ist, dass Betrüger mehr als eine Million Euro mit gehackten TAN-Nummer erbeutet haben, attestieren zwei Erlanger Sicherheitsforscher dem Verfahren gravierende Sicherheitsmängel.

Demolierte Scheibe einer Sparkasse in Berlin: Online-Banking auf dem Smartphone ist nicht so sicher, wie gedacht, wenn sich auch der TAN-Nummerngenerator auf dem Smartphone befindet. Das haben zwei Forscher am Beispiel der Banking-App der Sparkassen demonstriert. 

Demolierte Scheibe einer Sparkasse in Berlin: Online-Banking auf dem Smartphone ist nicht so sicher, wie gedacht, wenn sich auch der TAN-Nummerngenerator auf dem Smartphone befindet. Das haben zwei Forscher am Beispiel der Banking-App der Sparkassen demonstriert. 

Foto: Hannibal Hanschke/dpa

Heute hat der Bankkunde die Qual der Wahl, wenn er Online-Banking betreiben will. Entweder legt er sich einen TAN-Nummerngerät zu, das mit dem Server der Bank über das Internet kommuniziert, manche Bank bietet noch schriftliche TAN-Listen an, oder aber man nutzt das Handy. Hinzu kommt das Online-Banking auf dem Smartphone im App-basierten pushTAN-Verfahren. Eine spezielle App, die nur dazu da ist, eine Transaktionsnummer für jede Überweisung zu generieren, ergänzt dabei die eigentliche Banking-App auf dem Smartphone. Zwei Apps auf einem Gerät soll Bankgeschäfte von unterwegs aus sicher und bequem machen.

„Empfangen Sie TANs unterwegs auf Ihrem Smartphone oder Tablet jederzeit und überall“, wirbt die Sparkasse im Internet für mobiles Banking im so genannten „>pushTAN-Verfahren“. Doch sicher ist dieses Verfahren offenbar nicht, meinen die beiden Sicherheitsforscher Vincent Haupert und Tilo Müller von der Friedrich-Alexander-Universität Erlangen-Nürnberg. Das Problem ist, dass beide Apps oft auf dem selben Gerät gespeichert sind.

Top Stellenangebote

Zur Jobbörse
Ernst-Abbe-Hochschule Jena-Firmenlogo
W2-Professur für Virtuelle Produktentwicklung Ernst-Abbe-Hochschule Jena
Hochschule Mannheim-Firmenlogo
Professur "Werkstoffwissenschaften und Fertigungstechnologie" (m/w/d) Hochschule Mannheim
Mannheim Zum Job 
FH Münster-Firmenlogo
Lehrkraft für besondere Aufgaben (w/m/d) "Grundlagen des Maschinenbaus" im Fachbereich Maschinenbau FH Münster
Münster Zum Job 
Regierungspräsidium Tübingen-Firmenlogo
Leitung des Referates 106, Beschussamt Ulm (w/m/d) Regierungspräsidium Tübingen
Landtag Nordrhein-Westfalen-Firmenlogo
Stellvertretende Referatsleitung in Verbindung mit der Leitung des Sachbereichs "Technische Gebäudeausrüstung (TGA)" (m/w/d) Landtag Nordrhein-Westfalen
Düsseldorf Zum Job 
Hochschule für angewandte Wissenschaften München-Firmenlogo
Professur für Elektronik (W2) Hochschule für angewandte Wissenschaften München
München Zum Job 
Hochschule für angewandte Wissenschaften München-Firmenlogo
Professur für Grundlagen der Elektrotechnik (W2) Hochschule für angewandte Wissenschaften München
München Zum Job 
Bundesanstalt für Immobilienaufgaben-Firmenlogo
Ingenieurin / Ingenieur Technisches Gebäudemanagement (w/m/d) Bundesanstalt für Immobilienaufgaben
Bundesanstalt für Immobilienaufgaben-Firmenlogo
Objektmanagerin / Objektmanager (w/m/d) Bundesanstalt für Immobilienaufgaben
Aluminium Deutschland e.V.-Firmenlogo
Referent Technologie Forschung Standards (m/w/d) Aluminium Deutschland e.V.
Düsseldorf Zum Job 
Aluminium Deutschland e.V.-Firmenlogo
Referent Technologie Forschung Standards (m/w/d) Aluminium Deutschland e.V.
Düsseldorf Zum Job 
Hochschule für angewandte Wissenschaften München-Firmenlogo
Professur für Nachhaltigkeit und Konstruktion (W2) Hochschule für angewandte Wissenschaften München
München Zum Job 
Badische Stahlwerke GmbH-Firmenlogo
Projektleiter (m/w/d) Maschinenbau / Anlagenbau Badische Stahlwerke GmbH
Hochschule Esslingen - University of Applied Sciences-Firmenlogo
Professor:in für das Lehrgebiet "Entwicklung mechatronischer Systeme" Hochschule Esslingen - University of Applied Sciences
Esslingen am Neckar Zum Job 
Max-Planck-Institut für biologische Intelligenz-Firmenlogo
Ingenieur*in für Versorgungs- / Gebäude- / Energietechnik Max-Planck-Institut für biologische Intelligenz
Martinsried Zum Job 
Technische Hochschule Nürnberg Georg Simon Ohm-Firmenlogo
Professur (W2) Schienenfahrzeugtechnik Technische Hochschule Nürnberg Georg Simon Ohm
Nürnberg Zum Job 
Technische Hochschule Nürnberg Georg Simon Ohm-Firmenlogo
Professur (W2) Umformtechnik und Simulation von Fertigungsprozessen Technische Hochschule Nürnberg Georg Simon Ohm
Nürnberg Zum Job 
Technische Hochschule Nürnberg Georg Simon Ohm-Firmenlogo
Professur (W2) Cyber-physische Systeme in der Industrie Technische Hochschule Nürnberg Georg Simon Ohm
Nürnberg Zum Job 
Technische Hochschule Nürnberg Georg Simon Ohm-Firmenlogo
Professur (W2) Leichtfahrzeuge und Fahrzeugkonstruktion Technische Hochschule Nürnberg Georg Simon Ohm
Nürnberg Zum Job 
Fachhochschule Kiel-Firmenlogo
W2-Professur für Nachhaltige Materialien und smarte Digitalisierung Fachhochschule Kiel

Die TAN-App erzeugt die Transaktionsnummer (TAN) für eine Überweisung oder eine andere Aktion.. Diese TAN wiederum dient zur Bestätigung einer Transaktion, die mit der eigentlichen Banking-App ausgeführt wird. Beide Apps können sich also auf dem gleichen Gerät befinden: „Sie benötigen nur ein Gerät, um auf Ihr Konto zugreifen und Geld überweisen zu können“, beschreibt die Sparkasse den Bequemlichkeitsfaktor des Verfahrens. Und das ist das Einfallstor für Hacker.

Auf demselben Gerät kontrollieren Trojaner beide Apps

Wenn eine Überweisung auf demselben Gerät getätigt werde, das auch die Generierung und den Empfang von TANs verwaltet, könne dieses Verfahren prinzipiell nicht vor Banking-Trojanern schützen, warnen die beiden Forscher. Ein Banking-Trojaner, der mit Systemrechten läuft und damit in einer höheren Privilegierungsebene als die verwendeten Apps selbst, sei immer in der Lage, sämtliche Schutzmechanismen auszuhebeln.

Um die Sicherheit solcher App-basierten TAN-Verfahren zu überprüfen, haben die Erlanger Forscher einen Angriff auf das Push-TAN-Verfahren der Sparkasse entwickelt und realisiert. Es gelang ihnen, Schadsoftware auf dem Android-Smartphone eines fiktiven Opfers zu platzieren, Transaktionen per Banking-App zu manipulieren und diese manipulierten Transaktionen per App bestätigen zu lassen. Zu Demonstrationszwecken erhöhten sie eine Überweisungssumme von 10 Cent auf 13,17 € und änderten den Empfänger der Überweisung, ohne dass es für das Opfer erkennbar gewesen wäre.

Für ihre Demonstration arbeiteten die Forscher mit der „S-pushTAN-App“ und der Banking-App „Sparkasse“. Doch auch andere Banken wie die Volksbanken, Raiffeisenbanken, die Hypovereinsbank, die DKB und die ING-DiBa hätten entsprechende Apps im Angebot, informieren Haupert und Müller und nehmen an, dass weitere deutsche Kreditinstitute folgen werden.

Sparkassen halten Verfahren trotzdem für sicher

Die beiden Forscher hätten mit einer älteren Version der S-pushTAN-App für Google Android gearbeitet, nimmt der Deutsche Sparkassen- und Giroverband zu der Manipulation Stellung. Der Angriff sei mit der aktuellen Version 1.0.5 der pushTAN-App nicht mehr möglich, teilte der Verband auf Anfrage von Ingenieur.de mit. Weiter heißt es, dass die von den Forschern vorgestellte Angriffsmöglichkeit nicht zur Folge habe, „dass es auch zu tatsächlichen Betrügereien gegen Kunden kommen wird. Die Umsetzung vollständiger Angriffe weist eine extrem hohe Komplexität auf.“

Zwei Erlangener Forschern ist es gelungen, eine Überweisung zu manipulieren, wenn Banking-App und die App zur Generierung der TAN-App auf dem selben Smartphone gespeichert sind.  

Zwei Erlangener Forschern ist es gelungen, eine Überweisung zu manipulieren, wenn Banking-App und die App zur Generierung der TAN-App auf dem selben Smartphone gespeichert sind.

Quelle: Vincent Haupert und Tilo Müller/Forschungsgruppe Systemsicherheit und Softwareschutz

Grundsätzlich ändert das jedoch nichts an der konzeptionellen Schwäche, auf die die Erlanger Forscher hinweisen. Die Sicherheit beim Online-Banking werde zugunsten der Bequemlichkeit vernachlässigt, wenn die so genannte „Zwei-Faktor-Authentifizierung“ auf nur einem Gerät stattfindet und keine Zusatzgeräte nötig sind, wie bei anderen TAN-Verfahren.

So wird beim Chip-TAN-Verfahren die TAN von einem extra Gerät, dem TAN-Generator, hergestellt und in der Banking-Software auf einem Computer eingegeben. Und beim mTAN-Verfahren bestätigt eine TAN, die auf ein Mobilgerät geschickt wurde, die Transaktion in der PC-Anwendung. Ein Angreifer muss bei diesen beiden Verfahren also zwei voneinander unabhängige Geräte unter seine Kontrolle bringen – wie beim jüngst bekannt gewordenen Hack des mTAN-Verfahrens bei Mobilfunkkunden der Telekom und möglicherweise auch anderer tatsächlich geschehen.

Anders beim App-basierten TAN-Verfahren: „Der bewusste Verzicht auf eigenständige Hardware zur Transaktionsauslösung und -bestätigung macht das Verfahren für Schadsoftware zu einer leichten Beute“, stellen die Erlanger Forscher fest. Umso erschreckender sei es, dass der TÜV das neue Verfahren, trotz seiner offensichtlichen Design-Schwächen, als besonders sicher eingestuft und zertifiziert habe.

 

Ein Beitrag von:

  • Susanne Neumann

    Susanne Neumann ist Webjournalistin. „Inhalt mit Anspruch“ ist das Motto der freien Journalistin und Online-Redakteurin. Sie steht für gründliche Recherche, eine verständliche Darstellung auch komplizierter Sachverhalte und Freude am Thema. Sie hat  Politik-, Theater-, und Kommunikationswissenschaften studiert.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.