Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Forscher hacken Smartphone-Banking

PhotoTAN nicht sicher

Forscher hacken Smartphone-Banking

24. Oktober 2016, 8:48 Uhr | Elke von Rekowski
© everythingpossible - Fotolia

Es ist bequem und lässt sich überall nutzen: Online-Banking via Smartphone wird immer beliebter. Die Sicherheit bleibt dabei allerdings auf der Strecke, wie Wissenschaftler jetzt gezeigt haben.

Immer mehr Menschen erledigen ihre Bankgeschäfte mobil und nutzen dazu ihr Smartphone. Viele Banken bieten mittlerweile einen entsprechenden Service an. Die Transaktionen via Smartphone sind jedoch nicht sicher und können von Angreifern gehackt werden. Das haben Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) jetzt mit einem erfolgreichen Angriff auf die photoTAN-Verfahren dreier Kreditinstitute bewiesen. Erst im vergangenen Jahr hatten die Wissenschaftler mit einer Manipulation der pushTAN-App der Sparkasse die konzeptionelle Schwäche des Ein-Geräte-Bankings aufgezeigt.

Vor allem in Deutschland und der Schweiz ist die photoTAN-App eine beliebte Authentifizierungslösung für mobiles Banking. Hierbei muss der Anwender einen Matrixcode vom PC, Notebook oder Tablet abscannen. Die Smartphone-App generiert daraus eine TAN. »Das ist grundsätzlich ein sicheres Verfahren, weil daran zwei voneinander unabhängige Geräte beteiligt sind«, sagt Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU. »Um hier eine Manipulation vornehmen zu können, müsste der Angreifer beide Geräte kontrollieren.« Genau dieses Sicherheitskonzept wird jedoch beim mobilen photoTAN-Banking ausgehebelt: Weil man den auf dem Smartphone bereitgestellten Matrixcode nicht mit demselben Gerät abscannen kann, greift die Banking-App direkt auf die TAN-App zu, um die Transaktion auslösen zu können.

PhotoTAN-Verfahren ausgehebelt

Dass die Zusammenführung der Zwei-Faktor-Authentifizierung auf einem Gerät zu Sicherheitslücken führt, haben die Wissenschaftler Vincent Haupert und Dr. Tilo Müller jetzt erneut gezeigt: Die Informatiker haben die photo-TAN-Apps der Deutschen Bank, der Commerzbank und der Norisbank – exemplarisch für weitere Banken, die dieses System anbieten – auf einem Smartphone gehackt und sowohl den Empfänger als auch den Betrag einer Transaktion in Echtzeit manipuliert. »Während auf dem Display eine Überweisung von zehn Cent an das Finanzamt angezeigt wurde, haben wir in Wirklichkeit 13 Euro auf ein privates Konto überweisen«, sagt Haupert. Die manipulierte Transaktion sei für den Nutzer zu keiner Zeit sichtbar gewesen.

Darüber hinaus ist es den Wissenschaftlern gelungen, die photoTAN-App auf das Gerät des Angreifers zu kopieren. Diese kopierte Version der App generiert daraufhin die gleichen TANs wie die des Originals. »Wenn es einem Angreifer gelingt, die Zugangsdaten der Banking-App zu erlangen, kann er letztlich beliebige Transaktionen zu Lasten des Opfers vornehmen«, warnt Haupert.

  1. Forscher hacken Smartphone-Banking
  2. Alle App-basierten Verfahren betroffen
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
gekartel AG

gekartel AG
nexspace data centers GmbH

nexspace data centers GmbH
d.velop AG

d.velop AG
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
KONZEPTUM GmbH

KONZEPTUM GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk