Artikel-Filter
CES
MEDICA
Akkreditieren Sie sich hier zu den kommenden PREVIEWs

Banking-Apps gehackt

Strukturelles Problem der Ein-Geräte-Authentifizierung

FAU - Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben in einem Forschungsprojekt gezeigt, dass 31 Apps für mobiles Online-Banking nicht sicher sind, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. Den Wissenschaftlern ist es gelungen, eine etablierte Sicherheitssoftware automatisiert unwirksam zu machen und so Transaktionsvorgänge zu manipulieren. Damit weisen sie erneut die konzeptionelle Schwäche des Ein-Geräte-Bankings nach.

Online-Banking auf dem Smartphone ist bequem und wird immer beliebter. Aber die Installation sowohl der Banking- als auch der TAN-App auf einem Gerät birgt Risiken. Um die Sicherheit des mobilen Bankings zu erhöhen, setzen weltweit zahlreiche Finanzdienstleister auf die Software SHIELD des norwegischen IT-Dienstleisters Promon. Promon soll das Banking auf kompromittierten Geräten verhindern und interagiert dafür mit der TAN-App. Wird diese manipuliert, sperrt Promon sämtliche Transaktionsvorgänge. Umgekehrt funktioniert die TAN-App nicht, wenn die Sicherheitssoftware nicht installiert ist. „Insbesondere bei den Apps der Sparkassen-Finanzgruppe und der Volksbanken-Raiffeisenbanken ist das Promon SHIELD mittlerweile zum Dreh- und Angelpunkt der Sicherheitsarchitektur geworden“, sagt Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU.

Forscher manipulieren Sicherheitsprogramm

Haupert und seinem Forscherkollegen Nicolas Schneider ist es nun gelungen, das Promon SHIELD Schritt für Schritt zu analysieren und zu manipulieren. Sie haben ein Programm geschrieben, das die Sicherungs- und Härtungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktiviert, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. „Das Programm ist geräte- und versionsunabhängig und arbeitet vollautomatisch“, erklärt Schneider. „Wir können damit Apps kopieren, die IBAN ändern und TANs auf beliebige Geräte schicken. Kriminellen Hackern wäre es möglich, fremdes Geld unbemerkt auf eigene Konten umzuleiten.“ Die Deaktivierung des Promon SHIELD betrifft jedoch nicht nur das Banking, auch das Zertifikats-Pinning oder die Verschlüsselung sensibler Kundendaten lassen sich außer Kraft setzen. Obwohl der Angriff zunächst nur für das Betriebssystem Android simuliert wurde, wollen die Forscher zeigen, dass er auch auf iOS-Geräten möglich ist.

Verzicht auf unabhängige Zwei-Faktor-Authentifizierung bleibt problematisch

Mit ihrem Forschungsprojekt haben die FAU-Informatiker wiederholt demonstriert, dass der Betrieb sowohl der Banking-App als auch der TAN-App auf nur einem Gerät nicht sicher ist. In den vergangenen Jahren hatten sie verschiedene PushTAN- und PhotoTAN-Verfahren so manipuliert, dass Buchungen mit veränderten Beträgen auf fremde Konten umgeleitet werden konnten, ohne dass dies für den Nutzer sichtbar war. „Die Banken haben unsere Angriffe meist als akademisches Laborexperiment abgetan“, sagt Vincent Haupert. „Wir aber betrachten den Verzicht auf die sogenannte Zwei-Faktor-Authentifizierung, bei der die TAN auf einem separaten Gerät erzeugt wird, als konzeptionelle Schwäche des mobilen Bankings. Daran werden auch die ausgefeiltesten Sicherheitsprogramme nichts ändern.“ Menschen, die nicht auf das mobile Banking verzichten wollen, rät Haupert zur Nutzung eines TAN-Generators.

Pressekontakt
Friedrich-Alexander-Universität
Erlangen-Nürnberg
Schlossplatz 4
91054 Erlangen

Pressestelle FAU
Besucheradresse: Richard-Wagner-Straße 2
91054 Erlangen
Telefonnummer: +49 9131 85-70229
E-Mail: presse@fau.de

Fragen zu diesem Forschungsprojekt beantworten:
Vincent Haupert
Tel. 09131 85-69907
vincent.haupert@cs.fau.de

Nicolas Schneider
nicolas.schneider@fau.de

Google+ Facebook Twitter XING Pinterest Blogger LinkedIn Bit.ly Delicious Email Print Addthis
ANZEIGE
ANZEIGE


Ein Chip fürs Umwelt- und Gesundheitsmonitoring

Intelligente Sensorarrays analysieren Gasgemische
FAU - Sensoren für preiswerte Messgeräte oder persönliche Assistenzsysteme im Umwelt-, Sicherheits- und Gesundheitsmonitoring werden immer stärker nachgefragt. Bisher mangelt es jedoch noch an kostengünstigen ...



Magnetische Kontrolle per Handzeichen

Elektronische „Haut“ für virtuelle Realität entwickelt
HZDR - Spätestens seit dem Erfolg der Spiele-App Pokémon GO ist vielen Menschen die „Erweiterte Realität“ ein Begriff. Per Computer wird eine Wahrnehmung erzeugt, bei der sich reale und virtuelle Welt ...



Die Drehscheibe für crossindustrieelle Innovationen

11. DEUTSCHE INNOVATIONSGIPFEL in München
PREVIEW online - Die Innovationsdynamik wächst exponentiell. Die Digitalisierung erhöht den Innovationsdruck enorm. Kein Unternehmen kommt heute mehr ohne externes, branchenfremdes Know-how aus. Die „Crossindustry ...



Corporates vs StartUps

Warum Elefanten keine Angst vor Mäusen haben müssen
PREVIEW online - Die Innovationsdynamik wächst exponentiell. Parallel greift die Befürchtung in den Konzernen um sich, eine Technik zu verpassen oder vom Markt verdrängt zu werden. Laut KPMG Global CEO Outlook haben 65% ...



Wenn Menschen und Maschinen kommunizieren

Technologien und Trends auf der PREVIEW
PREVIEW online - Sollte die Stimme des Beifahrers männlich dominant oder doch lieber sympathisch weiblich sein? Obwohl der Sitz neben dem Fahrer leer bleibt, fährt der Beifahrer oder die Beifahrerin doch stets im Auto ...



Flachlautsprecher und Klangdusche

Fraunhofer IDMT auf Einrichtungsmesse imm cologne
Fraunhofer IDMT - Das Fraunhofer-Institut für Digitale Medientechnologie IDMT präsentiert vom 15. bis 21. Januar 2018 seine in Wände und Möbel integrierbare Flachlautsprechertechnologie und eine Lösung ...



ANZEIGE
Presse-Mitteilungen   RSS-Feed
ANZEIGE
About
PREVIEW online ist ein multimediales News-Portal für technisch Interessierte.
Ohne langes Suchen und Site-hopping finden Sie hier gewünschte Informationen. Mit einem Blick sehen Sie auf PREVIEW online sofort, welche Medien zu den jeweiligen Themen vorhanden sind. Eine optimale Kombination aus Kategorien, Schlagwort- und Volltextsuche erleichtert Ihnen das Finden gewünschter Informationen erheblich. Wenn Sie Wichtiges über Themen, Unternehmen, News, die Sie interessieren, nicht verpassen möchten, abonnieren Sie sich unseren NEWS-Allert.
Alle Infos sind nur 1 Klick entfernt - das ist PREVIEW online.
IMPRESSUM / Kontakt