34C3: "Nomorp" hebelt Schutzschild zahlreicher Banking-Apps aus
Der Sicherheitsforscher Vincent Haupert hat das Rätsel gelüftet, wie er zusammen mit einem Kollegen schwere Lücken bei App-basierten TAN-Verfahren ausnutzen und etwa Überweisungen manipulieren konnte.
(Bild: heise online)
Schon Ende November verwiesen die Erlanger Sicherheitsforscher Vincent Haupert und Nicolas Schneider in breiter Öffentlichkeit darauf, dass in 31 Online-Banking-Apps schwere Sicherheitslücken klafften. Ihnen gelang es laut Medienberichten, App-basierte TAN-Verfahren komplett auszuhebeln und etwa Überweisungen über untergeschobene IBAN-Nummern und Zahlbeträge zu manipulieren. Details zu dem Hack hat Haupert nun auf dem 34. Chaos Communication Congress (34C3) am Mittwoch in Leipzig in einem Ausflug in die "fabelhafte Welt des Mobile Banking" offenbart.
Bekannt war bereits, dass auf das "appTAN"-Verfahren setzende Anwendungen von 31 Banken betroffen sein sollten, darunter die von Comdirect, der Commerzbank, der Fidor-Bank sowie der Städtischen Sparkassen. Haupert führte nun die ganze Palette der einschlägigen Finanzinstitute an, zu denen hierzulande etwa auch die BB-Bank, die Citibank, Wüstenrot und die Volks- und Raiffeisenbanken gehörten. Den Apps gemeinsam sei, dass sie die Sicherheitslösung "Shield" des norwegischen Unternehmens Promon verwendeten, die angeblich für einen Schutz der Programme in nicht vertrauenswürdigen Umgebungen sorgten und sogar auf infizierten Geräten einsetzbar seien.
(Bild: CC by 4.0 34C3 media.ccc.de))
Promon Shield härtet Banking-Apps
Mit Software wie Promon Shield versuchen Finanzinstitute, konzeptionellen Authentisierungsproblemen bei Banking-Apps durch zusätzliche Sicherungs- und Härtungsmaßnahmen zu begegnen. Dazu zählen etwa spezielle Verfahren zum Überprüfen von Zertifikaten oder das verschlüsselte Speichern sensibler Kundendaten. Dass es auch auf dieser Basis mit der Transaktionssicherheit nicht weit her ist, führte Haupert am Beispiel der App Yomo der Spar-Finanz-Gesellschaft auf einem Android-Smartphone aus, die als Ein-App-Authentifizierungsverfahren der von den Experten ebenfalls bereits untersuchten Mobilanwendung von N26 nachempfunden sei und wohl auf die neueste Version von Promon Shield baue.
Kern des virtuellen Schutzschilds ist laut Haupert die eingebundene native Bibliothek "libshield.so". Die Norweger hätten alle entscheidenden Zeichenfolgen und Konstanten aus den ursprünglichen Banking-Apps rausgezogen und in diese Library eingebaut. Diese zu modifizieren sei unter erträglichem ökonomischen Aufwand nicht machbar, man könne sie aber prinzipiell mit einiger Arbeit entfernen. Dazu müsse man die ganzen darinsteckenden Sicherheitsmechanismen bis hin zu Zertifikaten wieder loswerden, was den Tüftlern über handwerkliche Programmiertricks wie das Rückverfolgen aufgerufener Zeichenabfolgen und objektrelationaler Abbildungen schließlich gelungen sei.
Promon Shield aus Apps entfernt
Um den Schild dann zu entfernen, programmierten die Experten nach Hauperts Angaben das Werkzeug "Nomorp". Installiere man dieses, sorge eine eingebaute Analysefunktion zunächst dafür, dass die entscheidenden Konfigurationen und das Client-Zertifikat von Promon Shield "rauspurzeln". Füttere man diese in Nomorp, komme die ungeschützte App heraus. Dieser ganze Prozess dauere fünf bis zehn Minuten, sodass er auch bei Updates der Banking-Software rasch wieder durchgeführt werden könnte.
(Bild: CC by 4.0 34C3 media.ccc.de))
Die ganze Plackerei wäre dem Wissenschaftler zufolge eigentlich aber gar nicht nötig gewesen. Das Duo habe mit dem gesammelten Wissen ein zweites Angriffsszenario entwickelt, mit dem sich die Konfigurationsdatei für den Schild einfach nach dem Entschlüsseln vor der Weiterverarbeitung umschreiben und dabei die Promon-Software erhalten lasse. Bei Geräten mit Apples Mobilsystem iOS gebe es ähnliche Checks wie bei Android, sodass man Nomorp dafür ohne allzu große Mühen umschreiben könnte. Insgesamt liefen Transaktionsmanipulation mit der Lösung "fast vollständig automatisch" ab: Zahlungsbeiträge und die IBAN hätten zwar spezielle Kennungen, die man zunächst einzeln ermitteln müsse. Der Rest erfolge aber per Code Injection.
Haupert führte eine Demo für eine App der VR-Banken vor, auf einem Nexus 5X mit Android 7.0 und einem Sicherheitsupdate vom Ende 2016, bei dem einige Verwundbarkeiten noch nicht geflickt seien. Der Nutzer lädt sich in dem Video eine scheinbar gutartige App aus einem offiziellen Store herunter, die dann mit einer "Nomorped-Version" ersetzt werde. Bei einer anschließend getätigten Überweisung wird eine Transaktion über 15 Euro durch eine mit 1,23 Euro ersetzt, was erst beim nachträglichen Prüfen des Kontostands bemerkt werden kann.
Hersteller reagiert auf Hack
Promon habe auf einen einschlägigen Sicherheitshinweis professionell reagiert und eine neue Version der Schutzsoftware entwickelt, berichtete Haupert. "Unser Tool funktioniert so nicht mehr ohne Anpassungen." Es sei noch unklar, welche Maßnahmen die Firma implementiert habe.
Die Banken hätten erneut mit dem "merkwürdigen Verständnis von IT-Sicherheit" aufgewartet, dass bislang keine Schadensfälle bekannt seien, was angesichts der geringen Verbreitung von appTAN nicht wirklich verwundern könne. Eine App-Härtung stelle aber immer nur eine zusätzliche Sicherheitsfunktion dar, die das Hauptproblem nicht beseitige, dass für eine echte 2-Faktor-Authentifizierung zwei separate Endgeräte wie ein PC und ein Smartphone nötig seien. (acb)
