Volltextsuche über das Angebot:

3 ° / -6 ° wolkig

Navigation:
Google+ Instagram YouTube
Forscher knacken photoTAN-Verfahren auf Android-Smartphones

Technik Forscher knacken photoTAN-Verfahren auf Android-Smartphones

"Sicher, einfach, schnell". Mit diesen Worten wirbt die Commerzbank für den Einsatz der photoTAN im Online-Banking. Wissenschaftler aus Bayern haben nun eine Schwachstelle in dem Verfahren entdeckt, das auch von der Deutschen Bank und der Norisbank verwendet wird.

Voriger Artikel
Beamer oder Fernseher: Wer macht das bessere Heimkino?
Nächster Artikel
Viel Phishing mit falschen Mails von Apple und der Telekom

Forscher konnten den als sicher geltenden photoTAN knacken. Foto: Friedrich-Alexander-Universität Erlangen-Nürnberg

München. Zwei IT-Sicherheitsforschern ist es nach einem Bericht der "Süddeutschen Zeitung" gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken.

Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking-App und photoTAN-App auf einem Gerät installiert sind.

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller die Geldinstitute Deutsche Bank, Norisbank und Commerzbank ins Visier genommen werden. "Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken", sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt.

Mit der photoTAN wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter großes Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt. Nach der Entschlüsselung der photoTAN und sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die photoTAN-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.

Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem Smartphone der Opfer bereits eine mit Viren infizierte App installiert sein muss. "Das macht den Angriff schwieriger, aber nicht unmöglich", sagt Haupert. Darauf deute Schadsoftware wie "Godless" und "Hummingbad" hin. Diese schaffte es in den offiziellen App-Store von Google und hätte auf 90 Prozent aller Android-Smartphones funktioniert. Zehn Millionen Geräte seien betroffen gewesen.

Das Angriffsszenario habe man unter dem Google-System Android demonstriert. Eine Attacke sei aber prinzipiell auch beim iPhone-System iOS denkbar. Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten. Allerdings sei das Sicherheits-Modell der Apple-Software restriktiver, so dass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, eine Schadsoftware einzufangen.

Auf Nachfrage weisen Pressesprecher von Deutscher Bank und Norisbank darauf hin, dass man das Thema Sicherheit sehr ernst nehme: "Richtig angewendet sind alle Legitimationsverfahren sicher." Kunden entscheiden nach eigenen Präferenzen, welches Verfahren ihnen zusage. Die Commerzbank erstatte im Schadensfall die vollständige Summe, heißt es in einer Antwort. Die Bank gebe Kunden auf ihrer Webseite Sicherheitshinweise. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

dpa

Voriger Artikel
Nächster Artikel
Mehr aus Aktuelles

Gemäß des packenden „Drei in einer Reihe“-Prinzips müssen Reihen aus mindestens 3 Steinen gebildet und aufgelöst werden. Hier kostenlos im Spieleportal von LVZ.de spielen! mehr

  • Belantis - Infos und Events
    Belantis - Infos und Events

    Belantis - das AbenteuerReich im Herzen Mitteldeutschlands. Hier gibt es Neuigkeiten und alle Infos zu den Events! mehr

  • Zoo Leipzig
    Zoo Leipzig

    Infos und Events aus dem Zoo Leipzig sowie zahlreiche Bilder aller Vierbeiner und der geflügelten Zoobewohner. mehr

  • Schau! Das Leipziger Museumsportal
    Schau! Das Leipziger Museumsportal

    Alle Informationen zu den Museen in Leipzig, ihren Ausstellungen und Events auf einen Blick im Special der LVZ. mehr

  • Asisi - Welt der Panoramen
    Panometer Leipzig: Alle Infos zum "Great Barrier Reef" und den weiteren Panoramaprojekten von Yadegar Asisi

    Erfahren Sie im Special von LVZ.de alles zum Great Barrier Reef im Panometer Leipzig und den asisi-Panoramen in Dresden. mehr

  • E-Paper
    E-Paper

    Mit unserem E-Paper-Abo können Sie die LVZ in digitaler Form täglich im Original-Layout im Web oder auf Ihrem Tablet lesen. mehr

  • Magicpaper
    Magicpaper

    Wenn Sie an Beiträgen in der gedruckten LVZ das Handy-Symbol entdecken, stehen ab sofort mithilfe der Magicpaper App zusätzliche digitale Inhalte f... mehr

  • Onlineabo

    "LVZ-Online Extra" heißt das Online-Premiumangebot der Leipziger Volkszeitung, das Sie überall auf der Welt und rund um die Uhr nutzen kö... mehr

  • Leipzig Wiederentdeckt
    Leipzig Wiederentdeckt

    Die 13 Filme schildern eine einzigartige Zeitreise durchs 20. Jahrhundert der Stadt Leipzig – von den Anfängen des Films bis zur Wendezeit. Mit bis... mehr

  • So war das damals...
    So war das damals...

    Dies ist ein Geschichtenbuch der besonderen Art: Leserinnen und Leser der Leipziger Volkszeitung erzählen Erlebnisse aus ihrer Kindheit und Jugend,... mehr