PushTAN-Verfahren Wie die Sparkassen-App gehackt wurde

Die Banken preisen das pushTAN-Verfahren als sicher an. Doch Hacker zeigen, dass sich das Identifizierungssystem für Smartphone-Nutzer leichter als gedacht austricksen lässt.

Welche Zahlungsmittel Europäer bevorzugen
Das Geschäft mit dem Versenden von Geld über Smartphone-Apps lockt jetzt auch etablierte Banken an. Die Deutsche Kreditbank (DKB) kooperiert dafür mit dem Startup Cringle. Pro Monat kann ein Nutzer bis zu 100 Euro über die Cringle-App verschicken, abgewickelt wird die Zahlung per Lastschrift von der DKB. Pro Transaktion werden 20 Cent fällig, zum Start wurde die Gebühr auf 10 Cent gekappt. Das neue Angebot trifft bereits auf Wettbewerb im Markt. So bietet der Online-Bezahldienst PayPal seit Juli das Versenden von Geld über seine Smartphone-App in Deutschland an. Für Kunden, die ihren PayPal-Account mit einem deutschen Bankkonto verknüpft haben, ist das Angebot kostenlos, bei Kreditkarten wird eine Gebühr fällig. In vielen europäischen Ländern tun sich moderne Bezahlsysteme jedoch noch so schwer... Quelle: dpa
ÖsterreichOhne Bargeld geht in Österreich gar nichts. 86 Prozent bezahlen an der Kasse in bar, 12 Prozent mit EC-Karte. Eine Kreditkarte kommt nur in einem Prozent der Fälle zum Einsatz. Auf sonstige Alternativen wie Schecks, PayPal, Lastschrifteinzug oder Ähnliches entfällt insgesamt nochmal ein Prozent. Quelle: Deutsche Bundesbank; Europäische Kommission; Deloitte (Stand: 2014) Quelle: dpa
PolenIn Polen werden 80 Prozent der Bezahlvorgänge an der Kasse bar beglichen. Eine EC-Karte nutzen –ähnlich wie in Österreich – 13 Prozent der Bevölkerung. Immerhin werden auch drei Prozent der Bezahlvorgänge durch Kreditkarten abgewickelt. Auf die alternativen Zahlungsmittel entfallen vier Prozent. Quelle: dpa
DeutschlandAuch die Deutschen haben ihr Geld beim bezahlen lieber in fester Form in der Hand – in 79 Prozent der Fälle wird bar bezahlt. Zwölf Prozent der Käufe werden mit der EC-Karte beglichen, weitere sechs Prozent per mit Lastschrifteinzug, Scheck und anderen alternativen Zahlungsmethoden. Quelle: dpa
ItalienZwar ist Bargeld mit 69 Prozent noch immer das beliebteste Zahlungsmittel in Italien, aber auf Platz zwei kommen auch schon alternative Zahlungsmittel mit 17 Prozent. So sind Schecks, Kundenkarten, PayPal und andere Alternativen zusammen genommen bei den Italienern beliebter als die EC-Karte mit neun Prozent und die Kreditkarte mit sechs Prozent. Quelle: dpa
Sagrada Familia Quelle: AP
London Tower Bridge Quelle: dpa
Unter- und Oberhaussitz der Niederlande Quelle: Creative Commons - Markus Bernet
Das Atomium in Brüssel Quelle: AP
SchwedenBei den Schweden dominiert das bargeldlose Zahlen mit EC-Karte – ganze 49 Prozent macht diese Bezahlart aus. Nur 37 Prozent der Einkäufe werden mit der schwedischen Krone bezahlt. Nach den Spaniern zahlen die Schweden mit elf Prozent am zweithäufigsten mit Kreditkarte unter den betrachteten Ländern. Alternative Zahlungsmittel machen lediglich drei Prozent aus. Quelle: REUTERS
FrankreichFührend im bargeldlosen bezahlen ist Frankreich – nur bei jedem dritten Einkauf (34 Prozent) zahlt der Franzose noch mit echten Euros. 44 Prozent werden per EC-Karte und 21 Prozent mit alternative Zahlungsmethoden wie Kundenkarten, Schecks, PayPal, Lastschrifteinzug oder anderem bezahlt - so viel wie sonst nirgends in Europa. Nur die Kreditkarte wird mit lediglich einem Prozent geschmäht. Quelle: dpa

Die Sparkasse wirbt für ihr Onlinebanking mit dem push-TAN-Verfahren weiterhin auf ihrer Homepage: "Denn der entscheidende Vorteil der pushTAN ist, dass Sie keine weiteren Zusatzgeräte brauchen." Was die Sparkasse als Vorteil preist, ist nach Ansicht von Sicherheitsexperten aber der entscheidende Nachteil, mit dem sich eine angebliche Zwei-Faktor-Authentifizierung aushebeln lässt.

Auf dem Hacker-Kongress 32C3 erläuterte der Erlanger Student Vincent Haupert am Montag, wie er das pushTAN-System der Sparkasse hackte. Zum wiederholten Male.

Bereits im vergangenen Oktober hatte Haupert gezeigt, wie sich das Verfahren der Sparkasse überlisten lässt. Dieses basiert auf einer App für das eigentliche Onlinebanking sowie einer weiteren App für das TAN-Verfahren. Die Apps sind so eng verzahnt, dass sich die TAN direkt auf die Banking-App übertragen lässt.

Die beliebtesten Mobile-Banking-Apps in Deutschland

Haupert entschied sich dafür, die Transaktion zu manipulieren. Das sei aber nicht die Problemstelle. Weitere Angriffsszenarien hätten beispielsweise darin bestanden, die S-pushTAN-App mitsamt ihren Daten zu klonen. Ein Reverse-Engineering der Transaktionsprotokolle sei ebenfalls möglich. Mit Hauperts Methode wird den App-Nutzern die von ihnen gewünschte Transaktion vorgegaukelt, während im Hintergrund ein anderer Betrag auf ein vom Betrüger angegebenes Konto überwiesen wird.

Root-Erkennung leicht zu umgehen

Haupert realisierte seinen Angriff als Modul für das Instrumentations-Framework Xposed. Mit einem solchen Framework können Android-Nutzer tief in das System ihrer Geräte eingreifen, ohne ein neues ROM installieren zu müssen. Es ermöglicht zudem, beliebigen Java-Code zu instrumentalisieren.

Die pushTAN-App verfügte zwar über einige Sicherheitsmerkmale des norwegischen Anbieters Promon wie Root-Erkennung, Anti-Debugging, Device-Fingerprintung und Anti-Hooking. So soll die App eigentlich beendet werden, wenn sie mit Root-Rechten betrieben wird. Das Java-Callback für die Überprüfung auf ein gerootetes Gerät konnte von den Forschern aber instrumentalisiert und abgebrochen werden. "Es hat mich gewundert, dass es so einfach war", sagte Haupert.

Nachdem er zusammen mit seinem Kollegen Tilo Müller das Verfahren publik gemacht hatte, behauptete der Deutsche Sparkassen- und Giroverband (DSGV): "Die beschriebenen unter Laborbedingungen durchgeführten Manipulationen betreffen veraltete Versionsstände der S-pushTAN-App." In der neuen Version sei das Angriffsverfahren nicht mehr möglich.

  • 1
  • 2
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%