Anzeige
Die pushTAN-App der Sparkasse lässt sich einfach austricksen.
Die pushTAN-App der Sparkasse lässt sich einfach austricksen. (Bild: Vincent Haupert/Screenshot: Golem.de)

Auch nachgebesserte App lässt sich austricksen

Auf dem 32C3 zeigte Haupert nun, dass diese Behauptung nicht stimmt. Zwar habe die Sparkasse durchaus nachgebessert, räumte er ein. So gebe es nun keine Java-Callbacks mehr, sondern die App stürze ab, wenn das Gerät gerootet ist. Zudem könne die Root-Erkennung nicht mehr trivial deaktiviert werden. Ebenfalls würden nun bekannte Hooking-Frameworks wie das von Haupert verwendete Xposed erkannt.

Aber auch diese Sicherheitsmerkmale ließen sich austricksen. So funktioniert die Root-Erkennung in der App, indem im Dateisystem nach bestimmten Inhalten gesucht wird, die für "su" charakteristisch sind, wie beispielsweise "/system/bin/su". Nachdem Haupert diese Dateien umbenannt hatte, funktioniert die S-pushTAN-App wieder. Die eigentliche App für das Onlinebanking erkennt aber weiterhin die erweiterten Rechte und gibt einen entsprechenden Hinweis. Allerdings wirkt sich das nicht auf die Funktionen aus.

Anzeige

Um die Xposed-Erkennung zu umgehen, musste Haupert ebenfalls einige Dateien umbenennen und zusätzlich das Programm neu kompilieren, um daraus die Zeichenkette Xposed zu eliminieren. Nach diesen Änderungen konnte er wieder eine Transaktion manipulieren. Was er mit einem Video den versammelten Hackern vorführte.

Bankenaufsicht fordert Einsatz von zwei Geräten

Hauperts Fazit: App-basierte TAN-Verfahren seien "konzeptionell schwach". Die Schutzmechanismen der pushTAN-App hätten zwar zugenommen, doch es handele sich dabei "um ein Katz-und-Maus-Spiel, das die Sparkasse am Ende immer verlieren wird". Die Rooting-Erkennung bringe der Sparkasse hauptsächlich verärgerte Nutzer ein, statt gegen echte Angriffe zu schützen. Zudem sei ein gerootetes Gerät nicht unbedingt eine Voraussetzung für einen solchen Angriff.

Die Frage stellt sich jedoch, warum die Apps für Onlinebanking und die TAN-Generierung überhaupt auf einem Gerät installiert werden dürfen. So heißt es in einem FAQ-Papier der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Ende Oktober zu den Mindestanforderungen an Onlinebanking inzwischen: "Allerdings muss das App-basierte Sicherungsverfahren und das tatsächliche Online-Banking unabhängig voneinander - also über verschiedene Geräte (i.S.v. verschiedene Kanäle) - erfolgen." Schon im August 2015, also noch vor der ersten Veröffentlichung Hauperts, hieß es im Bafin-Journal: "Die TAN sollte auf keinen Fall auf demselben Smartphone generiert werden, auf dem das Online-Banking stattfindet. Hat ein Betrüger das Smartphone gehackt, so kann er dadurch auf beide Verfahren zugreifen."

Vor dem Hintergrund dieser trivialen Erkenntnisse ist es verwunderlich, dass die Banken immer noch mit diesem Verfahren werben. Haupert selbst räumte ein, dass er durchaus Bankgeschäfte per Smartphone tätigt. Allerdings nutzt er keine pushTAN-App, sondern das Chip-TAN-Verfahren. Das sei noch einigermaßen sicher.

Nachtrag vom 29. Dezember 2015, 16:30 Uhr

Die Sparkassen verteidigten in einer Stellungnahme vom Dienstag ihr Angebot. Das Verfahren werde "unter Berücksichtigung der jeweils bekannten Sicherheitsrisiken ständig weiterentwickelt", heißt es in einem Blogbeitrag. Aus diesem Grund seien bislang keine Schäden eingetreten oder bekannt. "Tatsächliche Schadensfälle sind auch weiterhin sehr unwahrscheinlich", schreibt der DSGV.

Das von Haupert gezeigte Vorgehen weise eine hohe Komplexität auf. "Deshalb ist der gezeigte Angriff nur unter Laborbedingungen möglich", heißt es weiter. Zusätzlich sollte beachtet werden, dass ein solcher Angriff immer nur bei genau einer Version der pushTAN-App wirkungsvoll sei. Neue Versionen der pushTAN-App erforderten unter Umständen erneut einen hohen Aufwand seitens der Angreifer. Nach Ansicht der Sparkasse entspricht ihr pushTAN-Verfahren den Anforderungen der Bankenaufsicht, mit der man sich in regelmäßigem Austausch befinde.

 Onlinebanking: Sparkassen-App für pushTAN-Verfahren wieder gehackt

eye home zur Startseite
red creep 01. Jan 2016

Android ist ein offenes System. Deswegen kann man relativ leicht einen starken Angreifer...

hawgk 31. Dez 2015

Ich finde da hat die Sparkasse einen mMn fatalen Fehler echt gut unter den Tisch gekehrt...

lear 30. Dez 2015

Das hat nichts mit Android, geschweige denn (intendiertem) rooten, zu tun, sondern dem...

TC 30. Dez 2015

Na diese "Verknüpfung", ab und zu muss ich sie neu verknüpfen

TC 30. Dez 2015

zb Opera ;)

Kommentieren



Anzeige

  1. UX Designer für Mobile Apps (m/w)
    Daimler AG, Ulm
  2. IT-Scrum Master Payment Solutions (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt
  3. Webentwickler/-in
    ALPLA Werke Alwin Lehner GmbH & Co KG, Hard (Österreich)
  4. Mitarbeiter/in im Bereich IT Helpdesk für den 1st-Level-Support
    Bosch Communication Center Magdeburg GmbH, Berlin

Detailsuche



Anzeige
Blu-ray-Angebote
  1. Steelbooks zum Aktionspreis
    (u. a. Game of Thrones Staffeln 1 u. 2 mit Magnetsiegeln für je 21,97€)
  2. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)
  3. TV-Serien Einstieg auf Blu-ray reduziert
    (u. a. Arrow, Hannibal, The Originals, Banshee, The Big Bang Theory, Silicon Valley)

Weitere Angebote


Folgen Sie uns
       


  1. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  2. Model S

    Teslas Autopilot verursacht Auffahrunfall

  3. Security

    Microsoft will Passwort 'Passwort' verbieten

  4. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  5. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  6. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus

  7. SpaceX

    Falcon 9 Rakete kippelt nach Landung auf Schiff

  8. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!

  9. Zcryptor

    Neue Ransomware verbreitet sich auch über USB-Sticks

  10. LTE-Nachfolger

    Huawei schließt praktische Tests für Zukunftsmobilfunk ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Java-Rechtsstreit Oracle verliert gegen Google
  2. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Playstation 4 Rennstart für Gran Turismo Sport im November 2016
  2. Project Spark Microsoft stellt seinen Spieleeditor ein
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Intels Compute Stick im Test: Der mit dem Lüfter streamt (2)
Intels Compute Stick im Test
Der mit dem Lüfter streamt (2)
  1. Stratix 10 MX Alteras Chips nutzen HBM2 und Intels Interposer-Technik
  2. Apple Store Apple darf keine Geschäfte in Indien eröffnen
  3. HBM2 eSilicon zeigt 14LPP-Design mit High Bandwidth Memory

  1. Re: Irgendwie kann man wieder gleich beim PC...

    jungundsorglos | 03:38

  2. Re: So müßte Open Pandora aussehen ...

    Lightkey | 03:30

  3. Re: Schwierig.

    petergriffin | 03:14

  4. Re: na is ja geil

    User_x | 03:09

  5. Re: Nein.

    DrWatson | 03:09


  1. 14:15

  2. 13:47

  3. 13:00

  4. 12:30

  5. 11:51

  6. 11:22

  7. 11:09

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel