Kaputtoptimiertes Online-Banking
Ein Team der University of Cambridge zeigt Schwachstellen von Kartenlesern auf, die Einmal-Passwörter für Transaktionen erzeugen.
Eine Reihe von Banken in England geben im Rahmen des Chip Authentication Programms (CAP) spezielle Kartenlesegeräte an Kunden aus, die Einmalpasswörter für Transaktionen erzeugen. Ein Team vom Computer Laboratory der University of Cambridge hat sich diese Geräte näher angesehen und dabei eine Reihe von Schwachstellen aufgedeckt, die unter anderem Replay-Angriffe und Man-In-The-Middle-Attacken ermöglichen. Am Rande wird auch erwähnt, dass der deutsche 'ZKA-TAN-Generator', der auf demselben Standard beruht, diesen aber anders interpretiert, bereits Schutzmaßnahmen gegen einige dieser Angriffe aufweist.
Optimised to Fail: Card Readers for Online Banking (PDF), von Saar Drimer, Steven J. Murdoch und Ross Anderson (ju)
