Technologie

Sicherheitslücke bei Android: Forscher knacken photoTAN-Verfahren

Wissenschaftler haben Smartphones mit Android-Betriebssystem geprüft und eine Entdeckung gemacht: Das beliebtestes System ist zugleich auch das anfälligste.
01.12.2016 10:57
Lesezeit: 2 min

Zwei IT-Sicherheitsforschern ist es nach einem Bericht der „Süddeutschen Zeitung“ gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken. Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen, so die dpa. Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking-App und photoTAN-App auf einem Gerät installiert sind.

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller die Geldinstitute Deutsche Bank, Norisbank und Commerzbank ins Visier genommen werden. „Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken“, sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt.

Mit der photoTAN wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter großes Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt. Nach der Entschlüsselung der photoTAN und sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die photoTAN-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.

Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem Smartphone der Opfer bereits eine mit Viren infizierte App installiert sein muss. „Das macht den Angriff schwieriger, aber nicht unmöglich“, sagt Haupert. Darauf deute Schadsoftware wie „Godless“ und „Hummingbad“ hin. Diese schaffte es in den offiziellen App-Store von Google und hätte auf 90 Prozent aller Android-Smartphones funktioniert. Zehn Millionen Geräte seien betroffen gewesen.

Das Angriffsszenario habe man unter dem Google-System Android demonstriert. Eine Attacke sei aber prinzipiell auch beim iPhone-System iOS denkbar. Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten. Allerdings sei das Sicherheits-Modell der Apple-Software restriktiver, so dass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, eine Schadsoftware einzufangen.

Auf Nachfrage weisen Pressesprecher von Deutscher Bank und Norisbank darauf hin, dass man das Thema Sicherheit sehr ernst nehme: „Richtig angewendet sind alle Legitimationsverfahren sicher.“ Kunden entscheiden nach eigenen Präferenzen, welches Verfahren ihnen zusage. Die Commerzbank erstatte im Schadensfall die vollständige Summe, heißt es in einer Antwort. Die Bank gebe Kunden auf ihrer Webseite Sicherheitshinweise. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

Mehr zum Thema
article:fokus_txt
Anzeige
DWN
Finanzen
Finanzen Immer mehr XRP- und ETH-Inhaber wenden sich still und leise an OPTO-Miner, um 3.000 Dollar pro Tag zu verdienen

Im derzeit unberechenbaren Kryptomarkt entscheiden sich immer mehr Anleger dafür, langsamer zu werden und sich nicht mehr von...

X

DWN Telegramm

Verzichten Sie nicht auf unseren kostenlosen Newsletter. Registrieren Sie sich jetzt und erhalten Sie jeden Morgen die aktuellesten Nachrichten aus Wirtschaft und Politik.
E-mail: *

Ich habe die Datenschutzerklärung gelesen und erkläre mich einverstanden.
Ich habe die AGB gelesen und erkläre mich einverstanden.

Ihre Informationen sind sicher. Die Deutschen Wirtschafts Nachrichten verpflichten sich, Ihre Informationen sorgfältig aufzubewahren und ausschließlich zum Zweck der Übermittlung des Schreibens an den Herausgeber zu verwenden. Eine Weitergabe an Dritte erfolgt nicht. Der Link zum Abbestellen befindet sich am Ende jedes Newsletters.

DWN
Wirtschaft
Wirtschaft Grünes Image unter Druck: EU plant strengere Regeln für Umweltwerbung
09.07.2025

Begriffe wie „klimaneutral“ oder „biologisch abbaubar“ begegnen Verbraucherinnen und Verbrauchern inzwischen fast überall – von...

DWN
Wirtschaft
Wirtschaft Deutschlands 500-Milliarden-Euro-Infrastrukturplan: Eine Chance für europäische Bauunternehmen?
09.07.2025

Deutschland plant das größte Infrastrukturprogramm seiner Geschichte. Doch es fehlen Bauarbeiter. Können andere europäische Firmen und...

DWN
Finanzen
Finanzen Bitcoin-Kurs stabil trotzt Milliardenbewegung: Anleger bleiben dennoch vorsichtig
08.07.2025

80.000 Bitcoin aus der Satoshi-Ära wurden bewegt – doch der Bitcoin-Kurs blieb stabil. Was hinter dem Rätsel steckt, warum Investoren...

DWN
Politik
Politik Steinmeier drängt auf mehr gemeinsame Rüstungsprojekte in Europa
08.07.2025

Bei seinem Besuch in Lettland hat Bundespräsident Frank-Walter Steinmeier für mehr Zusammenarbeit in der europäischen...

DWN
Unternehmen
Unternehmen Schwäche in China bremst Porsche: Absatz geht im ersten Halbjahr zurück
08.07.2025

Porsche muss im ersten Halbjahr 2025 einen spürbaren Rückgang beim Fahrzeugabsatz hinnehmen. Besonders in China läuft das Geschäft...

DWN
Politik
Politik Trump verspricht Raketen für die Ukraine – doch zu welchem Preis?
08.07.2025

Donald Trump kündigt neue Waffenlieferungen an die Ukraine an – obwohl er sich lange zurückhielt. Ein Signal der Stärke oder Teil...

DWN
Unternehmen
Unternehmen Nvidia-Aktie auf Höhenflug: Wie realistisch ist das 250-Dollar-Ziel?
08.07.2025

Die Nvidia-Aktie eilt von Rekord zu Rekord – doch Analysten sehen noch Luft nach oben. Wie realistisch ist das Kursziel von 250 Dollar?...

DWN
Politik
Politik NATO-Chef erwartet Doppelangriff: China greift Taiwan an, Russland die NATO
08.07.2025

Ein gleichzeitiger Angriff Chinas auf Taiwan und Russlands auf die NATO – ausgerechnet NATO-Chef Mark Rutte hält dieses...