32C3: pushTAN-App der Sparkasse nach wie vor angreifbar
Zwischen Erlanger Sicherheitsforschern und dem Sparkassenverband hat sich ein Katz-und-Maus-Spiel um die Online-Banking-App "pushTAN" entwickelt. Die jüngste Version ließe sich weiter recht einfach angreifen, sagen Experten.
Als die Sicherheitsforscher Vincent Haupert und Tilo Müller von der Uni Erlangen im Oktober vorführten, dass sich die Sicherungsverfahren für das mobile Online-Banking der Sparkassen leicht aushebeln lassen, hatten die Sparkassen scheinbar eine passende Antwort parat: Das aufgezeigte Problem betreffe nur "veraltete Versionsstände der S-pushTAN-App", so ihr damaliger Konter.
In einem zweiten Durchgang widmete sich das Team daher der aktuellen Version 1.0.7 der App vom 7. Dezember. Diese biete zwar "wohl mehr Schutz", konstatierte Haupert am Montag auf dem 32. Chaos Communication Congress (32C3) in Hamburg. Mit etwas Mehraufwand sei es aber möglich, auch diese Fassung der Smartphone-Anwendung erfolgreich anzugreifen.
Lösungsversuch
Die vom norwegischen Hersteller Promon eingekaufte Sicherheitslösung suche nun im Dateisystem nach allen Sachen, die für eine "Super-User-Genehmigung" zum Ausnutzen des Root-Status auf Systemebene charakteristisch seien. Die entsprechenden Dateien könne man aber "einfach umbenennen, dann geht es schon wieder". Um den pushTAN-Hack erneut zum Laufen zu bringen, reiche es prinzipiell aus, sich "systemlose" Supernutzer-Rechte zu verschaffen. Den verantwortlichen Promon-Mitarbeitern empfahl Haupert, "in den Flugmodus zu gehen", da selbst die zum pushTAN-Verfahren gehörige Sparkassen-App "es besser macht".
Die überarbeitete pushTAN-Anwendung erkennt dem Informatiker zufolge auch, dass ein potenzieller Angreifer das "Xposed Framework" einsetze und so den herkömmlichen Android-Anwendungsrahmen verlasse. Laut Haupert könne man die meisten derartigen Spuren allerdings schlicht löschen oder umbenennen. Bei noch benötigten Dateien müssten die Abhängigkeiten angepasst werden. Zu guter Letzt sei es erforderlich, das Verzeichnis ausgeführter Dateien neu zu kompilieren.
Kein Ende in Sicht
Dass der Hack danach wieder problemlos funktioniert, untermauerte der Wissenschaftler mit einem Demo-Video. Demnach ließen sich die Überweisungsdaten erneut in der doppelten App-Lösung so manipulieren, dass der Anwender erst beim Blick in die Überweisungsdetails Wind von dem Transaktionsbetrug bekam. So bleibe es beim Katz-und-Maus-Spiel mit der Sparkasse, das diese voraussichtlich immer verlieren werde, meinte der Fachmann. Die durch die schärfere Root-Erkennung ausgelösten App-Abstürze sorgten nur für verärgerte Nutzer.
Das Szenario gilt laut Haupert auch für zahlreiche vergleichbare mobile TAN-Verfahren anderer Banken. Generell werde mit derlei Ansätzen die 2-Faktor-Authentifizierung ad absurdum geführt, da man dafür letztlich immer zwei separate Endgeräte wie einen PC und ein Smartphone einsetzen sollte. In diesem Sinne habe auch die Bankenaufsicht Bafin bereits im August gewarnt, dass eine TAN auf keinem Fall auf demselben Mobilgerät generiert werden dürfe, auf dem das Online-Banking stattfinde. Sonst könne ein Angreifer auf beide Verfahren zugreifen. Wenn man pushTAN mit einem separaten Rechner verwende, sei dies laut Haupert schon "deutlich sicherer". (nij)
