Home » Sonstiges » Mobile Banking: Obskure Lücke macht viele Apps angreifbar

Mobile Banking: Obskure Lücke macht viele Apps angreifbar

Sicherheit - Binäre Zahlen - Symbolbild

Es ist kompliziert, aber möglich: Eine Sicherheitslücke erlaubt die Manipulation von Banking-Apps vieler großer deutscher Geldhäuser. Das Problem liegt bei einem externen Dienstleister.

Mobiles Banking gilt gemeinhin als sicher, die andauernden Probleme mit Schwächen des althergebrachten TAN-Verfahrens sind damit ausgeräumt. Allerdings haben sich im Laufe der Jahre neue Angriffe ergeben, wie etwa teils erfolgreiche Versuche die M-TAN, die per SMS zugestellt wird, abzufangen. Ein aktueller Erkenntnisbericht von Sicherheitsforschern der Friedrich-Alexander Universität Erlangen zeigt eine weitere Angriffsmöglichkeit auf, die eine Schwachstelle beim externen Dienstleister Promon ausnutzt, auf dessen Service viele große deutsche Geschäftsbanken, darunter die Commerzbank, Comdirect und Fidor Bank und viele Sparkassen, setzen. Diese erlaubt es, Überweisungen nach Belieben zu manipulieren und auf das Konto des Angreifers umzuleiten, ohne dass es vom Nutzer bemerkt werden kann. Es setzt voraus, dass die Verbindung zwischen App und Dienstleistungsserver unterbrochen wird.

Der Angriff ist nur dann wirksam, wenn die Mobile-TAN auf dem selben Gerät ausgeführt wird, auf dem auch die Überweisung erstellt wird, ein Vorgang, von dem viele Banken, wie etwa die DKB, abraten, es mitunter auch verhindern. Allgemein wird empfohlen die TAN-App, die heute oft zur Generierung der Transaktionsnummer genutzt wird, auf einem anderen Gerät auszuführen.

Die Forscher stufen den Angriff als sehr kompliziert und zeitraubend ein.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Gefällt Dir der Artikel?

 
 
Roman van Genabith
twitter Google app.net mail

7 Kommentare zu dem Artikel "Mobile Banking: Obskure Lücke macht viele Apps angreifbar"

  1. Tomiiz 27. November 2017 um 16:49 Uhr ·
    Zeitraubend ist relativ, wenn dafür die Entlohnung stimmt! Mein Beruf raubt mir auch ein gutes Stück Freizeit. 😉
    iLike 3
  2. moeKonpyuta 27. November 2017 um 17:25 Uhr ·
    Der Angriff ist seit dem 32C3 bekannt, also seit fast 2 Jahren. Wie es erst jetzt zu einer Berichterstattung kommt ist mir nicht ersichtlich. Es gibt permanent weitere Sicherheitsprobleme die besonders im Zusammenhang mit Push-TAN auf dem Smartphone bekannt werden. Weiterhin empfiehlt es sich, das Autorisierungsgeheimnis (TAN) außerhalb des Smartphones zu verarbeiten, d.h. Push-TAN ist eigentlich nicht mit Zielen der Sicherheit kombinierbar. Weiterhin sind TAN-Generatoren als Zusatzgerät (welche man kostenlos bei der Bank bekommt) die einzige wirklich sichere Möglichkeit für Online-Banking.
    iLike 0
    • Jens 27. November 2017 um 17:39 Uhr ·
      Zeig mir die Bank welche das Gerät den Kunden gratis anbietet. Zumindest unsere ex Bank ( Sparkasse) verkauft es nur. Und schwört auf Push Tan
      iLike 0
      • moeNES 27. November 2017 um 22:17 Uhr ·
        Bei Auswahl eines TAN-Verfahrens basierend auf dem Gerät bekommt man das Gerät beim ersten Mal kostenfrei zur Verfügung gestellt.
        iLike 0
  3. Peter 27. November 2017 um 19:01 Uhr ·
    Na toll, dann brauch ich jetzt zwei Handys oder mache die Transaktion am PC und mit dem Handy. Denn dasselbe Problem gilt ja wohl auch für Österreich. Die Bawag-App „Security App“ erlaubt eine Übernahme der secTan (bei uns heißt die nicht M-Tan) in die andere App der Bawag, die „Bawag PSK“. Mit dieser nimmt man Überweisungen vor. Die Security App generiert bzw. ruft secTans ab und zeigt Kontobewegungen an und generiert einmal Pins für den Einstieg in den Account. Nur einmal in fünf Minuten zu verwenden. Praktisch, wenn man an einem fremden PC sitzt oder jemand zu viel glotzt. Ich gehe davon aus, dass die Banken den finanziellen Schaden übernehmen?
    iLike 0
    • Wiepenkathen 30. November 2017 um 06:14 Uhr ·
      Hallo Peter, da unsere Bank es zum Glück unterbindet, dass das Gerät, über das ich über eine sichere https-Verbindung beim Geldinstitut angemeldet bin, gleichzeitig das Gerät sein darf, welches die TAN für eine Transaktion empfängt, nutze ich in der Tat zwei Geräte. Meist erledige ich das Online-Banking über das iPad, während die TAN an mein iPhone gesendet wird. Die von dir beschriebenen Sicherheitsvorkehrungen scheinen eine hohe Sicherheit zu gewährleisten.
      iLike 0
  4. inuli 27. November 2017 um 23:45 Uhr ·
    Angreifer haben jede Menge Zeit – denn sie wollen das Geld der Attackierten.
    iLike 0

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.