33C3: Schwere Sicherheitsmängel beim Bank-Startup N26 aufgedeckt
Dem Sicherheitsforscher Vincent Haupert ist es gelungen, das Schutzsystem der Online-Banking-App des Berliner Fintechs N26 komplett auszuhebeln. Die Firma hat inzwischen reagiert, doch der Fall wirft Fragen auf.
(Bild: dpa, Number26/Handout)
Einen Traum für Cybergangster hat der Erlanger Sicherheitsexperte Vincent Haupert am Dienstag auf dem 33. Chaos Communication Congress (33C3) in Hamburg vorgeführt: Mit recht leicht anwendbaren Hackertricks konnte er ein beim Berliner Startup N26 geführtes Bankkonto über ein Mobilgerät übernehmen, Überweisungen ausführen und den Sofort-Kreditrahmen in Höhe von 2000 Euro in Anspruch nehmen. Möglich machten dies Schwachstellen bei der Authentifizierung der Nutzer sowie in der sehr mitteilsfreudigen Programmierschnittstelle. N26 sucht den Finanzsektor aufzumischen, hat binnen eines Jahres rund 200.000 Kunden gewonnen und eine vollständige Banklizenz ergattert.
Auf den ersten Blick sah der Schutzpanzer für die Mobilanwendung solide aus. Um auf ein Konto zugreifen und Transaktionen tätigen zu können, wird neben der Nutzerkennung in Form einer E-Mail-Adresse ein Passwort sowie ein vierstelliger Transfercode in Art einer PIN benötigt. Ferner braucht man ein Mobilgerät, das mit dem Konto verknüpft ist. Um diese Verbindung herzustellen, versendet das "FinTech" einen sogenannten Token via SMS als Kennzeichen.
Anfällig für "Man in the Middle"-Angriff
Die Apps für iOS und Android erwiesen sich Haupert zufolge aber anfällig für einen "Man in the Middle"-Angriff. Dafür müsse man den Client gar nicht anrühren, da bei der Verschlüsselung der ausgetauschten Daten per JavaScript Object Notation (JSON) über HTTPS das zugehörige Zertifikat nicht richtig eingebunden worden sei. Dadurch sei es möglich geworden, das von N26 verwendete Application Programming Interface (API) quasi in Echtzeit zu kontrollieren und so auch erste Überweisungen zu tätigen.
Der Zugriff auf ein fremdes Konto habe sich etwa über die Funktion zum Rücksetzen des Passwortes per Mail und einen gezielten Phishing-Angriff bewerkstelligen lassen, erklärte Haupert. Dabei helfe der Umstand, dass ein Nutzer alle seine Kontakte mit E-Mails und Telefonnummern bei N26 hochladen könne und das Unternehmen diese unverschlüsselt im Backend-System gespeichert habe. Er und sein Team hätten so die 68 Millionen Login-Informationen aus dem Dropbox-Hack an der N26-API ausprobiert und dabei rund 33.000 Kunden der Firma identifiziert. So wäre es möglich gewesen, all diese Nutzer mit einer Warn-Mail anzuschreiben und ihnen über einen manipulierten Link ihre Passwörter abzuluchsen. Aus "rechtlichen Gründen" habe man diesen Ansatz aber nicht weiter verfolgt.
Unsignierte Transaktionen über Siri
Einmal im Besitz der Zugangscodes kann ein Angreifer laut dem Experten direkt Transaktionen über Apples Sprachassistent Siri in iOS 10 durchführen. Diese seien bislang nicht signiert worden. Dafür brauche man nicht mal ein mit dem Konto verknüpftes iPhone. Auf diesem Weg hätten die Sicherheitstester 200 Überweisungen von Kleinstbeträgen durchgeführt, ohne dass der angeblich irreguläre Aktionen aufdeckende N26-Algorithmus Alarm geschlagen habe. Erst nach drei Wochen sei einer der Mitstreiter kontaktiert worden, aber nicht, weil er die Transaktionen lanciert, sondern die geringen Summe empfangen habe. Es habe sich also genau um die falsche Person gehandelt.
Um Überweisungen auch ohne Siri zu tätigen, half den Hackern erneut die Programmierschnittstelle. Die darüber ausgetauschten Daten enthielt auch die zusätzlich erforderliche Kennung auf einer Mastercard-Kreditkarte, die zu dem Konto gehört und mit der ein neuer Transfer-Code bestätigt werden kann. Der fünfstellige weitere Sicherheitstoken habe sich einfach über einen "Brute Force"-Angriff binnen weniger Minuten ermitteln lassen, führte Haupert aus und in einer anschließenden Demo auch vor. Einen Schutz gegen das automatisierte wiederholte Ausprobieren von Ziffernkombinationen habe es nicht gegeben. Letztlich sei auch das Geburtsdatum des Kontoinhabers, das die Hotline-Berater als Zusatzinformation abfragten, wiederum über die API auslesbar gewesen.
Schwachstellen mittlerweile geschlossen
Der Tüftler hat die gravierenden Sicherheitsmängel nach eigenen Angaben am 25. September über den Chaos Computer Club (CCC) an N26 gemeldet. Die zuständigen Mitarbeiter dort hätten sich für die Hinweise bedankt und am 13. Dezember die letzte von ihm entdeckte Schwachstelle geschlossen.
Generell sieht sich Haupert mit dem Test in seiner anhand anderer Banking-Apps gewonnenen Ansicht bestätigt, dass mit gängigen Mobilpraktiken die 2-Faktor-Authentifizierung ad absurdum geführt werde. FinTechs zerstörten nun auch das noch vorhandene Vertrauen in den Finanzsektor, das Banken über Jahrzehnte hinweg aufgebaut hätten. Zudem vergrößerten sie den Druck auf traditionelle Häuser, immer einfach bedienbare Apps in Verkehr zu bringen, die in der Regel in Punkto Sicherheit nicht mithalten könnten. Auch die Bankenaufsicht Bafin kritisierte er dafür, offenbar ohne belastbare Prüfungen Lizenzen zu erteilen.
N26 verkündete kurz vor dem Vortrag, "noch mehr für seine IT-Sicherheit tun" zu wollen. Man habe daher ein eigenes "Bug Bounty"-Programm gestartet und lade darüber "Hacker-Talente auf der ganzen Welt ein", potenzielle Sicherheitslücken herauszufinden und an die Berliner zu melden. Sicheres Mobile Banking und optimale Funktionalität der eigenen App hätten für das Unternehmen "höchste Priorität". (akr)
