Android-Smartphones: Forscher knacken photoTAN-Verfahren

Android-Smartphones: Forscher knacken photoTAN-Verfahren

„Sicher, einfach, schnell“. Mit diesen Worten wirbt die Commerzbank für den Einsatz der photoTAN im Online-Banking. Wissenschaftler aus Bayern haben nun eine Schwachstelle in dem Verfahren entdeckt.

Zwei IT-Sicherheitsforschern ist es nach einem Bericht der „Süddeutschen Zeitung“ gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken. Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking-App und photoTAN-App auf einem Gerät installiert sind.

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller die Geldinstitute Deutsche Bank, Norisbank und Commerzbank ins Visier genommen werden. „Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken“, sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt.

Anzeige

Mit der photoTAN wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter großes Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt. Nach der Entschlüsselung der photoTAN und sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Apple in Zahlen

  • Gewinn

    18,4 Milliarden Dollar – der Gewinn von Apple im Weihnachtsquartal 2015 war auch der höchste, den ein börsennotiertes Unternehmen bislang erzielen könnte. Der Konzern sitzt jetzt auf einem Geldberg von 216 Milliarden Dollar und ist an der Börse über 580 Milliarden Dollar wert.

  • Absatz

    68 Prozent – so hoch war im letzten Quartal 2015 der Anteil des iPhones am Apple-Umsatz. Das Telefon ist zum entscheidenden Produkt für das Geschäft von Apple geworden. Insgesamt ist weltweit rund eine Milliarde Apple-Geräte im Einsatz, die meisten davon sind iPhones.

  • Mitarbeiter

    110.000 Mitarbeiter hatte Apple zum Abschluss des Geschäftsjahres September 2015. Zehn Jahre zuvor waren es noch 14.800 Festangestellte und gut 2000 befristet Beschäftigte.

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die photoTAN-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher. Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem Smartphone der Opfer bereits eine mit Viren infizierte App installiert sein muss.

„Das macht den Angriff schwieriger, aber nicht unmöglich“, sagt Haupert. Darauf deute Schadsoftware wie „Godless“ und „Hummingbad“ hin. Diese schaffte es in den offiziellen App-Store von Google und hätte auf 90 Prozent aller Android-Smartphones funktioniert. Zehn Millionen Geräte seien betroffen gewesen.

Was der neue Mobilfunk 5G leisten soll

  • Bandbreite

    Bis zu 100 Mal größer: 5G soll ganz neue Formen der Unterhaltung ermöglichen, wie Videospiele mit virtuellen Realitäten – und Computerbrillen für 3-D-Videos mit lebensechter 4-K-Auflösung.

  • Energiebedarf

    10 Mal effizienter: Heute ist Strombedarf einer der größten Kostentreiber im Mobilfunk. Künftig müssen Infrastruktur und Endgeräte drastisch weniger Energie verbrauchen – und im Idealfall bis zu zehn Jahre ohne Batterietausch funken.

  • Nutzerzahl

    1000 Mal höher: Wenn Mobilfunk künftig auch Sensoren in Parkuhren, Ampeln, oder Pkw-Stellplätzen vernetzen soll, müssen Funkzellen mit der 1000-fachen Zahl von Geräten kommunizieren können.

  • Reaktionszeit

    10 bis 100 Mal schneller: Damit autonom fahrende Autos einander rechtzeitig Notbremssignale geben können, muss das Funknetz Befehle in weniger als zehn Millisekunden übermitteln. Heutige Netze brauchen mindestens 100 Millisekunden.

  • Stabilität

    Bis zu 1000 Mal verlässlicher: Heute nerven Verbindungsabbrüche nur. Im Internet der Dinge wird es zum unkalkulierbaren Risiko, wenn der Funk zickt. Dann drohen der Stillstand von Maschinen oder gar tödliche Unfälle mit Robotern.

Das Angriffsszenario habe man unter dem Google-System Android demonstriert. Eine Attacke sei aber prinzipiell auch beim iPhone-System iOS denkbar. Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten. Allerdings sei das Sicherheits-Modell der Apple-Software restriktiver, so dass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, eine Schadsoftware einzufangen.

Auf Nachfrage weisen Pressesprecher von Deutscher Bank und Norisbank darauf hin, dass man das Thema Sicherheit sehr ernst nehme: „Richtig angewendet sind alle Legitimationsverfahren sicher.“ Kunden entscheiden nach eigenen Präferenzen, welches Verfahren ihnen zusage. Die Commerzbank erstatte im Schadensfall die vollständige Summe, heißt es in einer Antwort. Die Bank gebe Kunden auf ihrer Webseite Sicherheitshinweise. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%