29.11.2017 31 Online-Banking-Apps unsicher

Symbolbild

Forscherinnen und -forscher der Universität Erlangen haben insgesamt 31 Online-Banking-Apps als unsicher identifiziert. Kriminelle könnten so die Kontrolle über die Software übernehmen.

Dafür müsse nur eine bekannte Smartphone-Schwachstelle ausgenutzt werden. Welche Geräte und Betriebssysteme betroffen sind, ist derzeit nicht bekannt. Die Angriffstechnik lasse sich allerdings nur bei Kundinnen und Kunden einsetzen, die das App-basierte TAN-Verfahren nutzen. Hierbei werden über eine App Transaktionsnummern, also TANs, von der Bank angefordert. Das unsichere App-TAN-Verfahren soll vom Unternehmen Promon stammen. Laut eigenen Angaben soll der Betrieb 100 Kunden mit insgesamt rund 100 Millionen Nutzerinnen und Nutzern haben. Promon arbeitet aktuell an der Behebung der Schwachstelle.

Der Süddeutschen Zeitung (SZ) demonstrierten die Sicherheitsforscherinnen und -forscher, dass es möglich ist, die betroffene App mit der Identität der eigentlichen Nutzerin bzw. des eigentlichen Nutzers auf einem anderen Gerät auszuführen. TANs konnten einfach weiterverschickt werden. Zudem konnte die IBAN-Nummer der Empfängerin bzw. des Empfänger so manipuliert werden, dass die Überweisung an ein anderes Konto erfolgt. Angezeigt wurde dabei jedoch die IBAN der ursprünglichen Empfängerin bzw. des ursprünglichen Empfängers. 

Nähere Informationen zum Angriffsszenario der Friedrich-Alexander-Universität Erlangen sollen beim Chaos Computer Congress (CCC) Ende des Jahres folgen. Bislang soll es Cyberkriminellen nicht gelungen sein, die Sicherheitslücke auszunutzen. Sicherheitsforscherinnen und -forscher raten Online-Banking-Nutzerinnen und Nutzern, die Wert auf Sicherheit legen, generell dazu, vom App-TAN-Verfahren auf Zweifaktoren-Authentifizierung mit getrennter Hardware umzusteigen. 

Weitere Informationen:

Datum der Veröffentlichung: 29.11.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria