PushTAN-Verfahren: Wie die Sparkassen-App gehackt wurde

PushTAN-Verfahren: Wie die Sparkassen-App gehackt wurde

Quelle:Golem

Die Banken preisen das pushTAN-Verfahren als sicher an. Doch Hacker zeigen, dass sich das Identifizierungssystem für Smartphone-Nutzer leichter als gedacht austricksen lässt.

Die Sparkasse wirbt für ihr Onlinebanking mit dem push-TAN-Verfahren weiterhin auf ihrer Homepage: "Denn der entscheidende Vorteil der pushTAN ist, dass Sie keine weiteren Zusatzgeräte brauchen." Was die Sparkasse als Vorteil preist, ist nach Ansicht von Sicherheitsexperten aber der entscheidende Nachteil, mit dem sich eine angebliche Zwei-Faktor-Authentifizierung aushebeln lässt.

Auf dem Hacker-Kongress 32C3 erläuterte der Erlanger Student Vincent Haupert am Montag, wie er das pushTAN-System der Sparkasse hackte. Zum wiederholten Male.

Anzeige

Bereits im vergangenen Oktober hatte Haupert gezeigt, wie sich das Verfahren der Sparkasse überlisten lässt. Dieses basiert auf einer App für das eigentliche Onlinebanking sowie einer weiteren App für das TAN-Verfahren. Die Apps sind so eng verzahnt, dass sich die TAN direkt auf die Banking-App übertragen lässt.

Die beliebtesten Mobile-Banking-Apps in Deutschland

  • Platz 10

    Bank: Volksbanken und Raiffeisenbanken
    App: Online Filiale

    Quelle: App Annie, Downloads im ersten Quartal 2015 aus iOS App Store und Google Play Store zusammengefasst

  • Platz 9

    Bank: Commerzbank
    App: Commerzbank Kontostand

  • Platz 8

    Bank: ING-Direct
    App: ING-DiBa Banking + Brokerage

  • Platz 7

    Bank: Deutsche Kreditbank
    App: DKB-pushTAN

  • Platz 6

    Bank: Sparkassen
    App: S-pushTAN

  • Platz 5

    Bank: Deutsche Bank
    App: Meine Bank

  • Platz 4

    Bank: Commerzbank
    App: Commerzbank

  • Platz 3

    Bank: Postbank
    App: Postbank Finanzassistent

  • Platz 2

    Bank: Volksbanken und Raiffeisenbanken
    App: VR Banking

  • Platz 1

    Bank: Sparkassen
    App: Sparkasse

Haupert entschied sich dafür, die Transaktion zu manipulieren. Das sei aber nicht die Problemstelle. Weitere Angriffsszenarien hätten beispielsweise darin bestanden, die S-pushTAN-App mitsamt ihren Daten zu klonen. Ein Reverse-Engineering der Transaktionsprotokolle sei ebenfalls möglich. Mit Hauperts Methode wird den App-Nutzern die von ihnen gewünschte Transaktion vorgegaukelt, während im Hintergrund ein anderer Betrag auf ein vom Betrüger angegebenes Konto überwiesen wird.

Root-Erkennung leicht zu umgehen

Haupert realisierte seinen Angriff als Modul für das Instrumentations-Framework Xposed. Mit einem solchen Framework können Android-Nutzer tief in das System ihrer Geräte eingreifen, ohne ein neues ROM installieren zu müssen. Es ermöglicht zudem, beliebigen Java-Code zu instrumentalisieren.

Telekom-Kunden gehackt Die wichtigsten Antworten zur Betrugsserie beim Online-Banking

Ein Medienbericht über betrogene Telekom-Kunden, die mobile TANs beim Online-Banking genutzt haben, sorgt für Verunsicherung. Wer genau von der Sicherheitslücke betroffen war - und welche alternativen Verfahren es gibt.

Betrüger haben das sicher geglaubte Online-Banking per SMS-Tan ausgehebelt. Quelle: dpa

Die pushTAN-App verfügte zwar über einige Sicherheitsmerkmale des norwegischen Anbieters Promon wie Root-Erkennung, Anti-Debugging, Device-Fingerprintung und Anti-Hooking. So soll die App eigentlich beendet werden, wenn sie mit Root-Rechten betrieben wird. Das Java-Callback für die Überprüfung auf ein gerootetes Gerät konnte von den Forschern aber instrumentalisiert und abgebrochen werden. "Es hat mich gewundert, dass es so einfach war", sagte Haupert.

Nachdem er zusammen mit seinem Kollegen Tilo Müller das Verfahren publik gemacht hatte, behauptete der Deutsche Sparkassen- und Giroverband (DSGV): "Die beschriebenen unter Laborbedingungen durchgeführten Manipulationen betreffen veraltete Versionsstände der S-pushTAN-App." In der neuen Version sei das Angriffsverfahren nicht mehr möglich.

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%