Photo-TAN: Apps der Deutschen Bank, Commerzbank und Norisbank angreifbar
Das Photo-TAN-Verfahren sollte das Online-Banking sicherer machen, wird aber das Banking und die Erzeugung der TAN auf dem selben Gerät durchgeführt, ist es mit der Sicherheit nicht weit her. Angreifer können die Kunden dann unbemerkt bestehlen.
- Fabian A. Scherschel
Die Mobile-Banking-Apps der Deutschen Bank, der Commerzbank und der Norisbank können von Hackern angegriffen werden, wenn sie es schaffen, Schadcode auf das Smartphone aufzuspielen. Der Schadcode kann das zur Sicherung eingesetzte Photo-TAN-Verfahren knacken und eine vom Nutzer beauftragte Überweisung so ändern, dass ein anderer Geldbetrag an ein anderes als das vom Nutzer eingegebene Konto geschickt wird. Das Opfer bekommt davon nichts mit – der Betrug fällt erst auf, wenn der Kontostand auf einem anderen Gerät (etwa einem Desktop-PC) geprüft wird.
Belegt haben diesen Angriff zwei Forscher der Uni Erlangen, die letztes Jahr bereits zeigen konnten, dass App-TANs der Sparkasse auf ähnlichem Wege angreifbar sind. Zugrunde liegt die selbe Leichtsinnigkeit: Wird der zweite Faktor der Anmeldung bei der Banking-App auf das selbe Gerät verlegt, kann ein Angreifer, der das Gerät kompromittiert hat, auch den zweiten Anmeldungsfaktor abgreifen. Voraussetzung ist, dass die Hacker über eine Lücke an Systemrechte auf dem Gerät gelangen können. Aber genau vor einem so kompromittierten Gerät soll Zwei-Faktor-Authentifizierung ja eigentlich schützen.
Zwei Apps auf einem Gerät – keine gute Idee
Schon bei ihrer Analyse im vergangenen Jahr warnten die Forscher vor der konzeptionellen Schwäche aller App-basierten TAN-Verfahren, die nicht auf getrennte Hardware setzen. Sie empfahlen schon damals, und auch jetzt wieder, dringend, einen zweiten, unabhängigen Authentifizierungsfaktor einzusetzen, wie ihn ChipTAN-Verfahren bieten. Nur so sei sicheres Online-Banking zu gewährleisten.
Eigentlich war das Photo-TAN-Verfahren auch so konzipiert: Beim Online-Banking auf dem Desktop wird mit dem Handy eine Grafik eingescannt und die Handy-App generiert die entsprechende TAN. Erst das Verlegen des Bankings auf das Handy und die Ăśbertragung der TAN innerhalb des Smartphone-Betriebssystems macht den Prozess unsicher. (fab)