Technologie

Sicherheitslücke bei Android: Forscher knacken photoTAN-Verfahren

Lesezeit: 2 min
01.12.2016 10:57
Wissenschaftler haben Smartphones mit Android-Betriebssystem geprüft und eine Entdeckung gemacht: Das beliebtestes System ist zugleich auch das anfälligste.
Sicherheitslücke bei Android: Forscher knacken photoTAN-Verfahren

Mehr zum Thema:  
Benachrichtigung über neue Artikel:  

Zwei IT-Sicherheitsforschern ist es nach einem Bericht der „Süddeutschen Zeitung“ gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken. Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen, so die dpa. Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking-App und photoTAN-App auf einem Gerät installiert sind.

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller die Geldinstitute Deutsche Bank, Norisbank und Commerzbank ins Visier genommen werden. „Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken“, sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt.

Mit der photoTAN wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter großes Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt. Nach der Entschlüsselung der photoTAN und sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die photoTAN-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.

Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem Smartphone der Opfer bereits eine mit Viren infizierte App installiert sein muss. „Das macht den Angriff schwieriger, aber nicht unmöglich“, sagt Haupert. Darauf deute Schadsoftware wie „Godless“ und „Hummingbad“ hin. Diese schaffte es in den offiziellen App-Store von Google und hätte auf 90 Prozent aller Android-Smartphones funktioniert. Zehn Millionen Geräte seien betroffen gewesen.

Das Angriffsszenario habe man unter dem Google-System Android demonstriert. Eine Attacke sei aber prinzipiell auch beim iPhone-System iOS denkbar. Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten. Allerdings sei das Sicherheits-Modell der Apple-Software restriktiver, so dass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, eine Schadsoftware einzufangen.

Auf Nachfrage weisen Pressesprecher von Deutscher Bank und Norisbank darauf hin, dass man das Thema Sicherheit sehr ernst nehme: „Richtig angewendet sind alle Legitimationsverfahren sicher.“ Kunden entscheiden nach eigenen Präferenzen, welches Verfahren ihnen zusage. Die Commerzbank erstatte im Schadensfall die vollständige Summe, heißt es in einer Antwort. Die Bank gebe Kunden auf ihrer Webseite Sicherheitshinweise. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

Inhalt wird nicht angezeigt, da Sie keine externen Cookies akzeptiert haben. Ändern..


Mehr zum Thema:  

DWN
Ratgeber
Ratgeber Bestens geplant: Einkommensvorsorge für Beamte

Die neue Allianz Einkommensvorsorge schützt Beamte und alle, die es werden wollen, vor den finanziellen Risiken einer Berufs- oder...

DWN
Finanzen
Finanzen Kann ein Trennbanken-System die Einlagen der Sparer schützen?

Die EU wollte nach der Finanzkrise 2008 ein Trennbanken-System einführen, um Ausfallrisiken für Kunden und Steuerzahler zu mindern. Doch...

DWN
Politik
Politik Liste der Grausamkeiten: Was sich mit der Bundes-Notbremse ändert

Der Bundestag hat die sogenannte Corona-Notbremse beschlossen. Der Bundesrat wird am Donnerstag zustimmen. Es folgt eine Zusammenstellung,...

DWN
Politik
Politik Hiobsbotschaft für ganz Europa: Zerstörerische Folgen von Suez-Blockade reichen bis zum Sommer

Die Blockade des Suez-Kanals wird in der Schifffahrt weltweit noch bis in den Sommer hinein zu Verspätungen und Turbulenzen führen.

DWN
Finanzen
Finanzen So profitieren Sie von Bitcoin, ohne die Kryptowährung kaufen zu müssen

Bitcoin hat seit Beginn des Jahres eine beispiellose Ralley hingelegt. Doch die Kryptowährung ist extrem schwankungsanfällig und manchem...

DWN
Politik
Politik Putin warnt Westen vor Überschreiten der "roten Linie"

Der russische Präsident Wladimir Putin hat dem Westen Umsturzversuche auf dem Gebiet der früheren Sowjetunion vorgeworfen und vor einem...

DWN
Politik
Politik Über 8.000 Demonstranten: Berliner Polizei löst Corona-Demo auf – Mehr als 40 Festnahmen

Die Berliner Polizei hat die heutige Corona-Demo in Berlin, an der mindestens 8.000 Menschen teilnehmen, offiziell aufgelöst. Es soll mehr...

DWN
Politik
Politik Militär-Manöver: Russland verhängt Flugbeschränkungen für Teile der Krim und des Schwarzen Meeres

Russland hat eine Beschränkung der Flüge über der Krim und dem Schwarzen Meer durchgeführt. Auslöser dieser Aktion ist die Tatsache,...

DWN
Politik
Politik Neuanfang in Nahost? Iran und Saudi-Arabien leiten Politik der vorsichtigen Annäherung ein

In die verfahrende Geopolitik des Nahen Ostens kommt Bewegung. Die Erzfeinde Iran und Saudi-Arabien sollen erstmals seit Abbruch der...