Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben in einem Forschungsprojekt gezeigt, dass 31 Apps für mobiles Online-Banking nicht sicher sind, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. Den Wissenschaftlern ist es gelungen, eine etablierte Sicherheitssoftware automatisiert unwirksam zu machen und so Transaktionsvorgänge zu manipulieren. Damit weisen sie erneut die konzeptionelle Schwäche des Ein-Geräte-Bankings nach.
Online-Banking auf dem Smartphone ist bequem und wird immer beliebter. Aber die Installation sowohl der Banking- als auch der TAN-App auf einem Gerät birgt Risiken. Um die Sicherheit des mobilen Bankings zu erhöhen, setzen weltweit zahlreiche Finanzdienstleister auf die Software SHIELD des norwegischen IT-Dienstleisters Promon. Promon soll das Banking auf kompromittierten Geräten verhindern und interagiert dafür mit der TAN-App. Wird diese manipuliert, sperrt Promon sämtliche Transaktionsvorgänge. Umgekehrt funktioniert die TAN-App nicht, wenn die Sicherheitssoftware nicht installiert ist. „Insbesondere bei den Apps der Sparkassen-Finanzgruppe und der Volksbanken-Raiffeisenbanken ist das Promon SHIELD mittlerweile zum Dreh- und Angelpunkt der Sicherheitsarchitektur geworden“, sagt Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU.
Forscher manipulieren Sicherheitsprogramm
Haupert und seinem Forscherkollegen Nicolas Schneider ist es nun gelungen, das Promon SHIELD Schritt für Schritt zu analysieren und zu manipulieren. Sie haben ein Programm geschrieben, das die Sicherungs- und Härtungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktiviert, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. „Das Programm ist geräte- und versionsunabhängig und arbeitet vollautomatisch“, erklärt Schneider. „Wir können damit Apps kopieren, die IBAN ändern und TANs auf beliebige Geräte schicken. Kriminellen Hackern wäre es möglich, fremdes Geld unbemerkt auf eigene Konten umzuleiten.“ Die Deaktivierung des Promon SHIELD betrifft jedoch nicht nur das Banking, auch das Zertifikats-Pinning oder die Verschlüsselung sensibler Kundendaten lassen sich außer Kraft setzen. Obwohl der Angriff zunächst nur für das Betriebssystem Android simuliert wurde, wollen die Forscher zeigen, dass er auch auf iOS-Geräten möglich ist.
Verzicht auf unabhängige Zwei-Faktor-Authentifizierung bleibt problematisch
Mit ihrem Forschungsprojekt haben die FAU-Informatiker wiederholt demonstriert, dass der Betrieb sowohl der Banking-App als auch der TAN-App auf nur einem Gerät nicht sicher ist. In den vergangenen Jahren hatten sie verschiedene PushTAN- und PhotoTAN-Verfahren so manipuliert, dass Buchungen mit veränderten Beträgen auf fremde Konten umgeleitet werden konnten, ohne dass dies für den Nutzer sichtbar war. „Die Banken haben unsere Angriffe meist als akademisches Laborexperiment abgetan“, sagt Vincent Haupert. „Wir aber betrachten den Verzicht auf die sogenannte Zwei-Faktor-Authentifizierung, bei der die TAN auf einem separaten Gerät erzeugt wird, als konzeptionelle Schwäche des mobilen Bankings. Daran werden auch die ausgefeiltesten Sicherheitsprogramme nichts ändern.“ Menschen, die nicht auf das mobile Banking verzichten wollen, rät Haupert zur Nutzung eines TAN-Generators.
Weitere Informationen für die Medien:
Vincent Haupert
Tel. 09131 85-69907
vincent.haupert@cs.fau.de
Nicolas Schneider
nicolas.schneider@fau.de
Merkmale dieser Pressemitteilung:
Journalisten
Gesellschaft, Informationstechnik
überregional
Forschungsergebnisse, Forschungsprojekte
Deutsch
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).