Sicherheit - Binäre Zahlen - Symbolbild

27. November 2017

Roman van Genabith

Mobile Banking: Obskure Lücke macht viele Apps angreifbar

Es ist kompliziert, aber möglich: Eine Sicherheitslücke erlaubt die Manipulation von Banking-Apps vieler großer deutscher Geldhäuser. Das Problem liegt bei einem externen Dienstleister.

Mobiles Banking gilt gemeinhin als sicher, die andauernden Probleme mit Schwächen des althergebrachten TAN-Verfahrens sind damit ausgeräumt. Allerdings haben sich im Laufe der Jahre neue Angriffe ergeben, wie etwa teils erfolgreiche Versuche die M-TAN, die per SMS zugestellt wird, abzufangen. Ein aktueller Erkenntnisbericht von Sicherheitsforschern der Friedrich-Alexander Universität Erlangen zeigt eine weitere Angriffsmöglichkeit auf, die eine Schwachstelle beim externen Dienstleister Promon ausnutzt, auf dessen Service viele große deutsche Geschäftsbanken, darunter die Commerzbank, Comdirect und Fidor Bank und viele Sparkassen, setzen. Diese erlaubt es, Überweisungen nach Belieben zu manipulieren und auf das Konto des Angreifers umzuleiten, ohne dass es vom Nutzer bemerkt werden kann. Es setzt voraus, dass die Verbindung zwischen App und Dienstleistungsserver unterbrochen wird.

Der Angriff ist nur dann wirksam, wenn die Mobile-TAN auf dem selben Gerät ausgeführt wird, auf dem auch die Überweisung erstellt wird, ein Vorgang, von dem viele Banken, wie etwa die DKB, abraten, es mitunter auch verhindern. Allgemein wird empfohlen die TAN-App, die heute oft zur Generierung der Transaktionsnummer genutzt wird, auf einem anderen Gerät auszuführen.

Die Forscher stufen den Angriff als sehr kompliziert und zeitraubend ein.

Weitere Artikel

iPhone X: YouTube-App saugt nicht mehr so sehr am Akku

iPhone 8 bei Vodafone: Netlock ist endgültig Geschichte

7 Gedanken zu „Mobile Banking: Obskure Lücke macht viele Apps angreifbar“

  2. Der Angriff ist seit dem 32C3 bekannt, also seit fast 2 Jahren. Wie es erst jetzt zu einer Berichterstattung kommt ist mir nicht ersichtlich. Es gibt permanent weitere Sicherheitsprobleme die besonders im Zusammenhang mit Push-TAN auf dem Smartphone bekannt werden. Weiterhin empfiehlt es sich, das Autorisierungsgeheimnis (TAN) außerhalb des Smartphones zu verarbeiten, d.h. Push-TAN ist eigentlich nicht mit Zielen der Sicherheit kombinierbar. Weiterhin sind TAN-Generatoren als Zusatzgerät (welche man kostenlos bei der Bank bekommt) die einzige wirklich sichere Möglichkeit für Online-Banking.
    • Zeig mir die Bank welche das Gerät den Kunden gratis anbietet. Zumindest unsere ex Bank ( Sparkasse) verkauft es nur. Und schwört auf Push Tan
      • Bei Auswahl eines TAN-Verfahrens basierend auf dem Gerät bekommt man das Gerät beim ersten Mal kostenfrei zur Verfügung gestellt.
  3. Na toll, dann brauch ich jetzt zwei Handys oder mache die Transaktion am PC und mit dem Handy. Denn dasselbe Problem gilt ja wohl auch für Österreich. Die Bawag-App „Security App“ erlaubt eine Übernahme der secTan (bei uns heißt die nicht M-Tan) in die andere App der Bawag, die „Bawag PSK“. Mit dieser nimmt man Überweisungen vor. Die Security App generiert bzw. ruft secTans ab und zeigt Kontobewegungen an und generiert einmal Pins für den Einstieg in den Account. Nur einmal in fünf Minuten zu verwenden. Praktisch, wenn man an einem fremden PC sitzt oder jemand zu viel glotzt. Ich gehe davon aus, dass die Banken den finanziellen Schaden übernehmen?
    • Hallo Peter, da unsere Bank es zum Glück unterbindet, dass das Gerät, über das ich über eine sichere https-Verbindung beim Geldinstitut angemeldet bin, gleichzeitig das Gerät sein darf, welches die TAN für eine Transaktion empfängt, nutze ich in der Tat zwei Geräte. Meist erledige ich das Online-Banking über das iPad, während die TAN an mein iPhone gesendet wird. Die von dir beschriebenen Sicherheitsvorkehrungen scheinen eine hohe Sicherheit zu gewährleisten.

Die Kommentare sind geschlossen.