Artikel-Filter
IFA
HMI
Akkreditieren Sie sich hier zu den kommenden PREVIEWs

Banking-Apps gehackt

Strukturelles Problem der Ein-Geräte-Authentifizierung

FAU - Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben in einem Forschungsprojekt gezeigt, dass 31 Apps für mobiles Online-Banking nicht sicher sind, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. Den Wissenschaftlern ist es gelungen, eine etablierte Sicherheitssoftware automatisiert unwirksam zu machen und so Transaktionsvorgänge zu manipulieren. Damit weisen sie erneut die konzeptionelle Schwäche des Ein-Geräte-Bankings nach.

Online-Banking auf dem Smartphone ist bequem und wird immer beliebter. Aber die Installation sowohl der Banking- als auch der TAN-App auf einem Gerät birgt Risiken. Um die Sicherheit des mobilen Bankings zu erhöhen, setzen weltweit zahlreiche Finanzdienstleister auf die Software SHIELD des norwegischen IT-Dienstleisters Promon. Promon soll das Banking auf kompromittierten Geräten verhindern und interagiert dafür mit der TAN-App. Wird diese manipuliert, sperrt Promon sämtliche Transaktionsvorgänge. Umgekehrt funktioniert die TAN-App nicht, wenn die Sicherheitssoftware nicht installiert ist. „Insbesondere bei den Apps der Sparkassen-Finanzgruppe und der Volksbanken-Raiffeisenbanken ist das Promon SHIELD mittlerweile zum Dreh- und Angelpunkt der Sicherheitsarchitektur geworden“, sagt Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU.

Forscher manipulieren Sicherheitsprogramm

Haupert und seinem Forscherkollegen Nicolas Schneider ist es nun gelungen, das Promon SHIELD Schritt für Schritt zu analysieren und zu manipulieren. Sie haben ein Programm geschrieben, das die Sicherungs- und Härtungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktiviert, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. „Das Programm ist geräte- und versionsunabhängig und arbeitet vollautomatisch“, erklärt Schneider. „Wir können damit Apps kopieren, die IBAN ändern und TANs auf beliebige Geräte schicken. Kriminellen Hackern wäre es möglich, fremdes Geld unbemerkt auf eigene Konten umzuleiten.“ Die Deaktivierung des Promon SHIELD betrifft jedoch nicht nur das Banking, auch das Zertifikats-Pinning oder die Verschlüsselung sensibler Kundendaten lassen sich außer Kraft setzen. Obwohl der Angriff zunächst nur für das Betriebssystem Android simuliert wurde, wollen die Forscher zeigen, dass er auch auf iOS-Geräten möglich ist.

Verzicht auf unabhängige Zwei-Faktor-Authentifizierung bleibt problematisch

Mit ihrem Forschungsprojekt haben die FAU-Informatiker wiederholt demonstriert, dass der Betrieb sowohl der Banking-App als auch der TAN-App auf nur einem Gerät nicht sicher ist. In den vergangenen Jahren hatten sie verschiedene PushTAN- und PhotoTAN-Verfahren so manipuliert, dass Buchungen mit veränderten Beträgen auf fremde Konten umgeleitet werden konnten, ohne dass dies für den Nutzer sichtbar war. „Die Banken haben unsere Angriffe meist als akademisches Laborexperiment abgetan“, sagt Vincent Haupert. „Wir aber betrachten den Verzicht auf die sogenannte Zwei-Faktor-Authentifizierung, bei der die TAN auf einem separaten Gerät erzeugt wird, als konzeptionelle Schwäche des mobilen Bankings. Daran werden auch die ausgefeiltesten Sicherheitsprogramme nichts ändern.“ Menschen, die nicht auf das mobile Banking verzichten wollen, rät Haupert zur Nutzung eines TAN-Generators.

Pressekontakt
Friedrich-Alexander-Universität
Erlangen-Nürnberg
Schlossplatz 4
91054 Erlangen

Pressestelle FAU
Besucheradresse: Richard-Wagner-Straße 2
91054 Erlangen
Telefonnummer: +49 9131 85-70229
E-Mail: presse@fau.de

Fragen zu diesem Forschungsprojekt beantworten:
Vincent Haupert
Tel. 09131 85-69907
vincent.haupert@cs.fau.de

Nicolas Schneider
nicolas.schneider@fau.de

ANZEIGE
ANZEIGE


Ein Chip fürs Umwelt- und Gesundheitsmonitoring

Intelligente Sensorarrays analysieren Gasgemische
FAU - Sensoren für preiswerte Messgeräte oder persönliche Assistenzsysteme im Umwelt-, Sicherheits- und Gesundheitsmonitoring werden immer stärker nachgefragt. Bisher mangelt es jedoch noch an kostengünstigen ...



Maschinelles Lernen über Grenzen des Bekannten hinaus

Neue Methode ermöglicht genaue Extrapolation
IST Austria - Um den sicheren Betrieb eines Roboters zu gewährleisten ist es entscheidend zu wissen, wie der Roboter unter verschiedenen Bedingungen reagiert. Aber woher soll man wissen, was einen Roboter ...



Neue Wege als praktische Herausforderung

Prof. Dr. Nassehi auf dem Innovation Walk
PREVIEW online - Wege und Ziele sind nicht immer die besten Freunde. Manchmal dominiert das Ziel den Weg so sehr, dass man gar nicht nach rechts oder links schaut und das sieht, was sich am Wegesrand an Möglichkeiten ...



Digitalisierter Betrieb bei der S-Bahn Hamburg

DB und Siemens: 4 Pilotzüge zum ITS-Weltkongress 2021
DB - In Hamburg wird 2021 erstmals in Deutschland ein hochautomatisierter S-Bahn-Betrieb aufgenommen. Eine entsprechende Kooperationsvereinbarung zur „Digitalen S-Bahn Hamburg“ haben der Erste ...



Der Tech-Allrounder

Videoaufzeichnungen unterwegs leicht gemacht
PREVIEW online - StarTech.com – Das neue HDMI to USB-C-Aufnahmegerätes (UVCHDCAP) von StarTech ermöglicht es, Videos und Audios mit maximaler Kompatibilität und Mobilität direkt auf dem Computer aufzunehmen. Das Produkt ...



Höchststrafe für Facebook

Briten strafen US-Konzern ab
PREVIEW online - Die Briten sind das erste europäische Land, das dem US-Konzern Facebook in Folge des letzten, unglaublichen Daten-Skandals eine satte Geldstrafe aufbrummt. Für den Cambridge-Analytica-Skandal soll der ...



ANZEIGE
Presse-Mitteilungen   RSS-Feed
ANZEIGE
About
PREVIEW online ist ein multimediales News-Portal für technisch Interessierte.
Ohne langes Suchen und Site-hopping finden Sie hier gewünschte Informationen. Mit einem Blick sehen Sie auf PREVIEW online sofort, welche Medien zu den jeweiligen Themen vorhanden sind. Eine optimale Kombination aus Kategorien, Schlagwort- und Volltextsuche erleichtert Ihnen das Finden gewünschter Informationen erheblich. Wenn Sie Wichtiges über Themen, Unternehmen, News, die Sie interessieren, nicht verpassen möchten, abonnieren Sie sich unseren NEWS-Allert.
Alle Infos sind nur 1 Klick entfernt - das ist PREVIEW online.
IMPRESSUM / DATENSCHUTZ