Sicherheitsrisiko 19.10.2016, 10:18 Uhr

photoTAN-Verfahren von Banking-Apps geknackt

Offenbar ist photoTAN kein Garant für sicheres Banking. Zumindest soll es Sicherheitsforschern gelungen sein, durch den Einsatz von Schadsoftware das Verfahren zu knacken und Überweisungen zu manipulieren.
(Quelle: Bloomicon / Shutterstock.com)
Zwei IT-Sicherheitsforschern ist es nach einem Bericht der "Süddeutschen Zeitung" gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken. Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking-App und photoTAN-App auf einem Gerät installiert sind.
photoTAN: Den Sicherheitsforschern gelang es, die Apps der Geldinstitute Deutsche Bank, Norisbank und Commerzbank zu überlisten.
Quelle: Commerzbank A.G.
Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller die Geldinstitute Deutsche Bank, Norisbank und Commerzbank ins Visier genommen werden. "Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschliessend zu verstecken", sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt.
Mit der photoTAN wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter grosses Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt. Nach der Entschlüsselung der photoTAN sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.
Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die photoTAN-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.
Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem Smartphone der Opfer bereits eine mit Viren infizierte App installiert sein muss. "Das macht den Angriff schwieriger, aber nicht unmöglich", sagt Haupert. Darauf deute Schadsoftware wie "Godless" und "Hummingbad" hin. Diese schaffte es sogar in den offiziellen App-Store von Google und hätte auf 90 Prozent aller Android-Smartphones funktioniert. Zehn Millionen Geräte seien betroffen gewesen.




Das könnte Sie auch interessieren