Unsichere App-TAN: Sparkasse verteidigt ihr pushTAN-Banking

Die Manipulationen beträfen "veraltete Versionsstände der S-pushTAN-App" und tatsächliche Schadensfälle seien unwahrscheinlich, heißt es in einer Stellungnahme der Sparkassen zu einem erfolgreichen Angriff auf ihr AppTAN-Verfahren.

In Pocket speichern vorlesen Druckansicht 226 Kommentare lesen
Sparkassen-App
Lesezeit: 3 Min.

Zwei Forscher der Uni Erlangen demonstrierten, dass sie mit speziell entwickeltem Schadcode Überweisungen auf Android-Handys umleiten konnten, die über das pushTAN-Verfahren der Sparkassen abgewickelt wurden. Die vorgeführten Angriffe auf das Online-Banking der Sparkassen betreffen nur "veraltete Versionsstände der S-pushTAN-App", kontert jetzt die Sparkasse. "Deshalb sind tatsächliche Schadensfälle aus heutiger Sicht unwahrscheinlich", heißt es in einer Stellungnahme des Deutschen Sparkassen- und Giroverbands, die heise Security vorliegt.

Wie auch schon die Forscher Vincent Haupert und Tilo Müller erklärten, erfordern die skizzierten Angriffe Root-Rechte auf dem Smartphone. Sie verschafften sich diese, indem sie das Android-Gerät kurzerhand selbst gerootet hatten und die Root-Erkennung der pushTAN-App austricksten. Das funktioniert so mit der aktuellen Version 1.0.5 der pushTAN-App, die die Sparkassen vorige Woche veröffentlichte, nicht mehr, da sich dort die Erkennung von gerooteten Geräten geändert hat. Das steht übrigens auch schon in der Analyse (Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking von Haupert und Müller.

Allerdings stellen die beiden auch klar, dass der Anwender selbst damit keineswegs auf der sicheren Seite ist. Denn das Handy muss keineswegs gerootet sein, damit der demonstrierte Angriff möglich ist. Es genügt vollkommen, wenn die verwendete Betriebssystem-Version oder eine der Apps eine Sicherheitslücke aufweist, über die sich eine Malware-App die benötigten Root-Rechte verschaffen kann. Laut einer aktuellen Studie der Uni Cambridge weisen rund 88 Prozent aller Android-Systeme solche Sicherheitslücken auf. Um einen ähnlichen Angriff wirklich zu verhindern, müsste die Sparkasse folglich einen Großteil der potenziellen Nutzer aussperren.

Unsichere App-TAN (9 Bilder)

Der Nutzer meldet sich im Online-Banking an und …
(Bild: Vincent Haupert und Tilo Müller, Forschungsgruppe Systemsicherheit und Softwareschutz)

Die grundsätzliche Analyse von Haupert und Müller hat Bestand: Bei aktuellen Online-Banking-Verfahren via ChipTAN oder auch mTAN muss ein Angreifer für einen unsichtbaren Betrug zwei unabhängige Geräte unter seine Kontrolle bringen: den PC und den TAN-Generator beziehungsweise das Smartphone. App-basierte TAN-Verfahren, wie sie die Sparkasse und viele andere Banken einsetzen, reduzieren das wieder auf ein Gerät: das zum Online-Banking eingesetzte Smartphone; eine Infektion des PCs ist dazu nicht mehr erforderlich.

Dass die Sparkasse trotzdem beteuert: "Die Absicherung des pushTAN-Verfahrens ist im Rahmen der kontinuierlichen Weiterentwicklung sichergestellt", ist eine gute Nachricht für Anwender, die die Bequemlichkeit von mobilen Transaktionen auf dem Handy schätzen. Heißt es doch, dass sie sich getrost auf die Sicherheit des Verfahrens verlassen dürfen – und dass im etwaigen Missbrauchsfall natürlich nicht sie, sondern die Banken in der Verantwortung stehen, den entstandenen Schaden zu begleichen. Jetzt wäre noch schön, wenn die Banken das in dieser Deutlichkeit bestätigen. (ju)