31 lückenhafte Banking-Apps: Forscher entlarven App-TAN-Verfahren abermals als unsicher

Inhaltsverzeichnis

In insgesamt 31 Online-Banking-Apps steckt eine Sicherheitslücke, die es Angreifern ermöglicht, die Kontrolle über die Anwendungen zu übernehmen. Darauf weisen Sicherheitsforscher von der Friedrich-Alexander-Universität Erlangen hin. Der Süddeutschen Zeitung (SZ) demonstrierten sie "eine ganze Palette" von Angriffen auf Smartphones.

Sie nutzten als Ausgangspunkt eine bereits bekannte, jedoch nicht näher ausgeführte Lücke in einem Smartphone. Um welches Gerät und Betriebssystem es sich dabei handelte, ist bislang unbekannt. Ebenfalls unklar ist, ob Angreifer physischen Zugriff auf das Gerät benötigen. Nähere Details zu ihrem Proof-of-Concept-Angriff wollen die Forscher Ende des Jahres beim Chaos Communication Congress (CCC) erläutern.

Während der Demonstration gelang es dem Team, die Apps mit der Identität des Smartphone-Besitzers unbefugt auf einem zweiten Gerät auszuführen und Transaktionsnummern (TANs) an beliebige Geräte zu versenden. Außerdem manipulierten sie IBAN-Nummern von Empfängerkonten einer Überweisung so, dass die Banking App dem Angriffsopfer weiterhin die ursprüngliche Empfänger-IBAN anzeigte, während das Geld in Wirklichkeit auf einem anderen Konten landete.

Angriffstechnik zielt nur auf App-TAN-Verfahren ab

In Deutschland sollen unter anderem Comdirect, die Commerzbank, die Fidor-Bank sowie die Stadtsparkassen betroffen sein. Die von den Forschern demonstrierten Angriffstechniken zielen allerdings ausschließlich auf Bankkunden ab, die App-basierte TAN-Verfahren verwenden.

Hierbei nutzt der Anwender neben einer Online-Banking-App eine TAN-App auf demselben Gerät. Letztere fordert über verschlüsselte Kommunikation mit der Bank eine TAN an, die sie anschließend anzeigt. Ein Klick befördert die TAN komfortabel in die Banking-App, wo der Anwender eine Überweisung abschließen kann.

Für die Umsetzung des App-TAN-Verfahrens in allen von den Forschern als unsicher identifizierten Apps ist das darauf spezialisierte Unternehmen Promon verantwortlich. Es hat nach eigenen Angaben rund 100 Kunden, deren insgesamt 100 Millionen Nutzer auf den Schutz ihrer App-TAN-Transaktionen vertrauen.

Aushebeln der Sicherheitsmechanismen nicht trivial

Den Forschern gelang es, die von Promon implementierten Sicherheitsmechanismen im Detail zu analysieren und sie schließlich – inklusive der kontinuierlich stattfindenden Kommunikation zwischen der jeweiligen App und Promon – vollständig abzuschalten. Dies sei allerdings gar nicht so einfach gewesen: Das Forscherteam bezeichnete die von Promon implementierten Mechanismen als "nicht so schlecht". Demnach bräuchten selbst versierte Hacker für das Erstellen eines wirkungsvollen Angriffskonzepts schätzungsweise ein bis zwei Monate.

Promon selbst wies darauf hin, dass es bisher keinem Kriminellen gelungen sei, die Sicherheitsmechanismen zu umgehen. Das Unternehmen habe bereits begonnen, die Lücke zu schließen. Auch die Deutsche Kreditwirtschaft äußerte sich in einem Statement: Sie stehe mit der Universität Erlangen-Nürnberg in direktem Dialog, "um die Schwachstellen besser einschätzen und eine schnelle Abhilfe einleiten zu können." Eine Reihe von Banking-Apps werde bereits in den nächsten Tagen in abgesicherten Versionen bereitgestellt.

Nutzer tauschen Komfort gegen Sicherheit

App-basierte TAN-Verfahren sind per se für Angriffe prädestiniert, da der gesamte Online-Banking-Vorgang auf ein und demselben Gerät abläuft. Dennoch entscheiden sich immer mehr Nutzer aus Bequemlichkeit dafür. Das Erlanger Forscherteam zeigte die konzeptionelle Schwäche von App-TAN bereits vor zwei Jahren im Rahmen eines erfolgreichen Angriffs auf die App-Kombination Sparkasse und S-pushTAN auf.

Wer Wert auf Sicherheit beim Online-Banking legt, sollte somit auch künftig beim Konzept der Zweifaktor-Authentifizerung mit getrennter Hardware bleiben, wie sie etwa beim ChipTAN-Verfahren zum Einsatz kommt. (ovw)