Artikel-Filter
HMI
L+B
Akkreditieren Sie sich hier zu den kommenden PREVIEWs

Banking-Apps gehackt

Strukturelles Problem der Ein-Geräte-Authentifizierung

FAU - Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben in einem Forschungsprojekt gezeigt, dass 31 Apps für mobiles Online-Banking nicht sicher sind, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. Den Wissenschaftlern ist es gelungen, eine etablierte Sicherheitssoftware automatisiert unwirksam zu machen und so Transaktionsvorgänge zu manipulieren. Damit weisen sie erneut die konzeptionelle Schwäche des Ein-Geräte-Bankings nach.

Online-Banking auf dem Smartphone ist bequem und wird immer beliebter. Aber die Installation sowohl der Banking- als auch der TAN-App auf einem Gerät birgt Risiken. Um die Sicherheit des mobilen Bankings zu erhöhen, setzen weltweit zahlreiche Finanzdienstleister auf die Software SHIELD des norwegischen IT-Dienstleisters Promon. Promon soll das Banking auf kompromittierten Geräten verhindern und interagiert dafür mit der TAN-App. Wird diese manipuliert, sperrt Promon sämtliche Transaktionsvorgänge. Umgekehrt funktioniert die TAN-App nicht, wenn die Sicherheitssoftware nicht installiert ist. „Insbesondere bei den Apps der Sparkassen-Finanzgruppe und der Volksbanken-Raiffeisenbanken ist das Promon SHIELD mittlerweile zum Dreh- und Angelpunkt der Sicherheitsarchitektur geworden“, sagt Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU.

Forscher manipulieren Sicherheitsprogramm

Haupert und seinem Forscherkollegen Nicolas Schneider ist es nun gelungen, das Promon SHIELD Schritt für Schritt zu analysieren und zu manipulieren. Sie haben ein Programm geschrieben, das die Sicherungs- und Härtungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktiviert, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. „Das Programm ist geräte- und versionsunabhängig und arbeitet vollautomatisch“, erklärt Schneider. „Wir können damit Apps kopieren, die IBAN ändern und TANs auf beliebige Geräte schicken. Kriminellen Hackern wäre es möglich, fremdes Geld unbemerkt auf eigene Konten umzuleiten.“ Die Deaktivierung des Promon SHIELD betrifft jedoch nicht nur das Banking, auch das Zertifikats-Pinning oder die Verschlüsselung sensibler Kundendaten lassen sich außer Kraft setzen. Obwohl der Angriff zunächst nur für das Betriebssystem Android simuliert wurde, wollen die Forscher zeigen, dass er auch auf iOS-Geräten möglich ist.

Verzicht auf unabhängige Zwei-Faktor-Authentifizierung bleibt problematisch

Mit ihrem Forschungsprojekt haben die FAU-Informatiker wiederholt demonstriert, dass der Betrieb sowohl der Banking-App als auch der TAN-App auf nur einem Gerät nicht sicher ist. In den vergangenen Jahren hatten sie verschiedene PushTAN- und PhotoTAN-Verfahren so manipuliert, dass Buchungen mit veränderten Beträgen auf fremde Konten umgeleitet werden konnten, ohne dass dies für den Nutzer sichtbar war. „Die Banken haben unsere Angriffe meist als akademisches Laborexperiment abgetan“, sagt Vincent Haupert. „Wir aber betrachten den Verzicht auf die sogenannte Zwei-Faktor-Authentifizierung, bei der die TAN auf einem separaten Gerät erzeugt wird, als konzeptionelle Schwäche des mobilen Bankings. Daran werden auch die ausgefeiltesten Sicherheitsprogramme nichts ändern.“ Menschen, die nicht auf das mobile Banking verzichten wollen, rät Haupert zur Nutzung eines TAN-Generators.

Pressekontakt
Friedrich-Alexander-Universität
Erlangen-Nürnberg
Schlossplatz 4
91054 Erlangen

Pressestelle FAU
Besucheradresse: Richard-Wagner-Straße 2
91054 Erlangen
Telefonnummer: +49 9131 85-70229
E-Mail: presse@fau.de

Fragen zu diesem Forschungsprojekt beantworten:
Vincent Haupert
Tel. 09131 85-69907
vincent.haupert@cs.fau.de

Nicolas Schneider
nicolas.schneider@fau.de

Google+ Facebook Twitter XING Pinterest Blogger LinkedIn Bit.ly Delicious Email Print Addthis
ANZEIGE
ANZEIGE


Ein Chip fürs Umwelt- und Gesundheitsmonitoring

Intelligente Sensorarrays analysieren Gasgemische
FAU - Sensoren für preiswerte Messgeräte oder persönliche Assistenzsysteme im Umwelt-, Sicherheits- und Gesundheitsmonitoring werden immer stärker nachgefragt. Bisher mangelt es jedoch noch an kostengünstigen ...



Internetanbieter im Test

Unitymedia erreicht bestes Gesamtergebnis
CHECK24.de - Das Portal CHECK24 hat Doppelflats (Internet und Telefon) von zehn DSL- und Kabelanbietern anhand der Teilkategorien Preis, Service- sowie Tarifbedingungen getestet. Das Ergebnis: Unitymedia ...



re:publica: Programm steht

Wie passen sich Technologien und Menschen an?
PREVIEW online - Vom 2. bis 4. Mai 2018 wird die STATION Berlin wieder zum wichtigen Treffpunkt für die internationale digitale Szene, VertreterInnen von Medienunternehmen, NetzpolitikerInnen und allen, die in Fragen der ...



Energieversorgung ohne Strom und Kabel

Technische Lösungen für die Energiewende
KIT - Die Energiewende und die Industrie 4.0 sind zwei große Bausteine eines umfassenden Wandels, der uns vor große Herausforderungen stellt. Gleichzeitig ergeben sich aber gerade hier enorme Chancen für ...



Nur jedes 2. Unternehmen hat Digitalisierung angestoßen

T-Systems sieht Industrie 4.0 mit Luft nach oben
T-SYSTEMS - Künstliche Intelligenz (KI), Internet of Things (IoT) und Smarte Fabrik – gerade im Vorlauf der Hannover Messe ist die Industrie 4.0 in aller Munde. Doch wie weit sind Industrieunternehmen ...



Intelligente Sensoren

Kooperation zwischen Menschen und Maschinen erleichtert
KIT - Intelligente Sensoren für die Zusammenarbeit von Mensch und Roboter, eine flexible Testplattform für das Stromnetz der Zukunft sowie innovative Energiespeicher und Elektromotoren: Das sind nur ...



ANZEIGE
Presse-Mitteilungen   RSS-Feed
ANZEIGE
About
PREVIEW online ist ein multimediales News-Portal für technisch Interessierte.
Ohne langes Suchen und Site-hopping finden Sie hier gewünschte Informationen. Mit einem Blick sehen Sie auf PREVIEW online sofort, welche Medien zu den jeweiligen Themen vorhanden sind. Eine optimale Kombination aus Kategorien, Schlagwort- und Volltextsuche erleichtert Ihnen das Finden gewünschter Informationen erheblich. Wenn Sie Wichtiges über Themen, Unternehmen, News, die Sie interessieren, nicht verpassen möchten, abonnieren Sie sich unseren NEWS-Allert.
Alle Infos sind nur 1 Klick entfernt - das ist PREVIEW online.
IMPRESSUM / Kontakt