Abo
  • IT-Karriere:

Commerzbank und Deutsche Bank: Forscher zeigen Angriff auf Photo-Tan-Verfahren

Das Photo-Tan-Verfahren sollte ursprünglich als zweiter Faktor Überweisungen absichern. Weil das nicht mehr geschieht, und die Banken nachlässig programmierte Apps entwickeln, ist das Verfahren angreifbar.

Artikel veröffentlicht am ,
Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Einem Team von Forschern ist es gelungen, das von verschiedenen Banken eingesetzte Photo-Tan-Verfahren zu knacken, wie zunächst die Süddeutsche Zeitung berichtet hat. Photo-Tan war ursprünglich als Verfahren für eine Zwei-Faktor-Authentifizierung gedacht, kann aber auch auf einem Smartphone gemeinsam mit einer Banking-App verwendet werden - genau hier liegt das Problem.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. BWI GmbH, Köln

Die Schwachstellen des Verfahrens werden von den beiden Wissenschaftlern Tilo Müller und Vincent Haupert der Friedrich-Alexander-Universität Erlangen-Nürnberg in einer Studie beschrieben [PDF]. Ursprünglich entwickelt wurde das Verfahren als zusätzliche Absicherung für Online-Transaktionen. Dazu erstellt der Online-Bankservice eine sogenannte Photo-Tan, einen mehrfarbigen Matrix-Code. Ursprünglich mussten Nutzer eine von dem Programm kreierte Photo-Tan mit dem Smartphone abfotografieren, um eine Transaktion zu bestätigen.

Das Verfahren wird jedoch mittlerweile von Banken wie der Commerzbank, der Norisbank und der Deutschen Bank anders eingesetzt - als zweite App auf dem Smartphone. Das Abfotografieren des Codes entfällt, stattdessen werden die entsprechenden Daten im Hintergrund von der Photo-Tan-App an die Banking-App übermittelt.

Damit eröffnen die teilnehmenden Banken den Forschern, und möglicherweise Kriminellen, einen Weg, Transaktionen auf ein anderes Konto umzuleiten und diese Umleitung auf dem Smartphone mit gefälschten Daten zu verschleiern. Erst bei späterer Prüfung der Kontoauszüge oder des Online-Bankings würde die Manipulation auffallen.

Mehrere Schwachstellen im App-Design

Die Photo-Tan-Apps der Hersteller haben mehrere Schwachstellen. So wird zwar überprüft, ob eine Anfrage vom gleichen Gerät gestellt wird wie die von der Banking-App gesendete Anfrage. Doch die Sicherung läuft nur über die Android-ID oder die IMEI-Nummer des Gerätes - beide Werte könnten von Angreifern gefälscht werden. Außerdem überprüft keine der getesteten Apps, ob das Gerät der Nutzer gerootet ist - und kann somit auch keine Warnmeldung anzeigen. Auch einen Schutz gegen Repackaging haben nicht alle Apps, Angreifer könnten demnach Nutzern eine veränderte Version der App unterschieben.

Haupert und Müller fingen in ihrem Angriffsszenario die Zugangsdaten der Banking-App noch auf dem Smartphone ab und starteten einen Man-in-the-Middle-Angriff, bei dem der Traffic der Kunden zunächst über einen Server der Angreifer geleitet wurde. An dieser Stelle könnten dann Parameter für eine Überweisung generiert werden und an die Bank weitergeleitet werden.

Angreifer manipulieren Anzeige in der App

Erst dann wird der Vorgang von der Banking-App an den Photo-Tan-Service gesendet. Auch hier werden im Vordergrund die legitimen Daten der Kunden angezeigt, im Hintergrund aber die manipulierten der Angreifer. Die Photo-Tan-App sendet dann eine entschlüsselte Version der Matrix-Grafik an die Banking-App, außerdem muss der Nutzer die Transaktion bestätigen. Dann wird die Überweisung freigegeben.

Um den Angriff in der Realität durchführen zu können, müssten Angreifer ihr Opfer zur Installation von Schadsoftware auf dem Smartphone bringen, die dann die Kontrolle über die Apps übernimmt. Gerade angesichts der zahlreichen in der Realität wegen verzögerter Updates ungepatchten Schwachstellen in Android gibt es hier immer wieder reale Angriffsszenarien. Müller und Haupert verweisen in ihrem Papier auf zahlreiche bekannt gewordene Schwachstellen und Schadsoftware-Familien, die entsprechende Angriffe ermöglichen würden, etwa Quadrooter.



Anzeige
Hardware-Angebote
  1. 114,99€ (Release am 5. Dezember)
  2. 274,00€
  3. (reduzierte Überstände, Restposten & Co.)

My1 19. Okt 2016

actually, wenn die lücke groß genug ist ja, gibts beim PC oft genug, lücken die es...

Xiut 19. Okt 2016

Eine Mischung aus beidem wäre perfekt. Einfach den ChipTAN-Gerät eine einfache, billige...

Spaghetticode 19. Okt 2016

Das wollte ich gerade auch schreiben. Das Lesegerät kann man sich bei seiner Bank...

Spaghetticode 19. Okt 2016

Das hat man bei der Sparkasse inzwischen so umgestellt, dass man die letzten zehn...


Folgen Sie uns
       


Teamfight Tactics - Trailer (Gameplay)

Die Helden kämpfen automatisch, trotzdem sind Dota Unerlords und League of Legends: TeamfightTactics richtig spannende Games - die Golem.de im Video ausprobiert hat.

Teamfight Tactics - Trailer (Gameplay) Video aufrufen
iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Switch Wenn die Analogsticks wandern
  2. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  3. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung
  2. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  3. Leserumfrage Wie können wir dich unterstützen?

    •  /