Abo
  • Services:
Anzeige
Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Commerzbank und Deutsche Bank: Forscher zeigen Angriff auf Photo-Tan-Verfahren

Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Das Photo-Tan-Verfahren sollte ursprünglich als zweiter Faktor Überweisungen absichern. Weil das nicht mehr geschieht, und die Banken nachlässig programmierte Apps entwickeln, ist das Verfahren angreifbar.

Einem Team von Forschern ist es gelungen, das von verschiedenen Banken eingesetzte Photo-Tan-Verfahren zu knacken, wie zunächst die Süddeutsche Zeitung berichtet hat. Photo-Tan war ursprünglich als Verfahren für eine Zwei-Faktor-Authentifizierung gedacht, kann aber auch auf einem Smartphone gemeinsam mit einer Banking-App verwendet werden - genau hier liegt das Problem.

Anzeige

Die Schwachstellen des Verfahrens werden von den beiden Wissenschaftlern Tilo Müller und Vincent Haupert der Friedrich-Alexander-Universität Erlangen-Nürnberg in einer Studie beschrieben [PDF]. Ursprünglich entwickelt wurde das Verfahren als zusätzliche Absicherung für Online-Transaktionen. Dazu erstellt der Online-Bankservice eine sogenannte Photo-Tan, einen mehrfarbigen Matrix-Code. Ursprünglich mussten Nutzer eine von dem Programm kreierte Photo-Tan mit dem Smartphone abfotografieren, um eine Transaktion zu bestätigen.

Das Verfahren wird jedoch mittlerweile von Banken wie der Commerzbank, der Norisbank und der Deutschen Bank anders eingesetzt - als zweite App auf dem Smartphone. Das Abfotografieren des Codes entfällt, stattdessen werden die entsprechenden Daten im Hintergrund von der Photo-Tan-App an die Banking-App übermittelt.

Damit eröffnen die teilnehmenden Banken den Forschern, und möglicherweise Kriminellen, einen Weg, Transaktionen auf ein anderes Konto umzuleiten und diese Umleitung auf dem Smartphone mit gefälschten Daten zu verschleiern. Erst bei späterer Prüfung der Kontoauszüge oder des Online-Bankings würde die Manipulation auffallen.

Mehrere Schwachstellen im App-Design

Die Photo-Tan-Apps der Hersteller haben mehrere Schwachstellen. So wird zwar überprüft, ob eine Anfrage vom gleichen Gerät gestellt wird wie die von der Banking-App gesendete Anfrage. Doch die Sicherung läuft nur über die Android-ID oder die IMEI-Nummer des Gerätes - beide Werte könnten von Angreifern gefälscht werden. Außerdem überprüft keine der getesteten Apps, ob das Gerät der Nutzer gerootet ist - und kann somit auch keine Warnmeldung anzeigen. Auch einen Schutz gegen Repackaging haben nicht alle Apps, Angreifer könnten demnach Nutzern eine veränderte Version der App unterschieben.

Haupert und Müller fingen in ihrem Angriffsszenario die Zugangsdaten der Banking-App noch auf dem Smartphone ab und starteten einen Man-in-the-Middle-Angriff, bei dem der Traffic der Kunden zunächst über einen Server der Angreifer geleitet wurde. An dieser Stelle könnten dann Parameter für eine Überweisung generiert werden und an die Bank weitergeleitet werden.

Angreifer manipulieren Anzeige in der App

Erst dann wird der Vorgang von der Banking-App an den Photo-Tan-Service gesendet. Auch hier werden im Vordergrund die legitimen Daten der Kunden angezeigt, im Hintergrund aber die manipulierten der Angreifer. Die Photo-Tan-App sendet dann eine entschlüsselte Version der Matrix-Grafik an die Banking-App, außerdem muss der Nutzer die Transaktion bestätigen. Dann wird die Überweisung freigegeben.

Um den Angriff in der Realität durchführen zu können, müssten Angreifer ihr Opfer zur Installation von Schadsoftware auf dem Smartphone bringen, die dann die Kontrolle über die Apps übernimmt. Gerade angesichts der zahlreichen in der Realität wegen verzögerter Updates ungepatchten Schwachstellen in Android gibt es hier immer wieder reale Angriffsszenarien. Müller und Haupert verweisen in ihrem Papier auf zahlreiche bekannt gewordene Schwachstellen und Schadsoftware-Familien, die entsprechende Angriffe ermöglichen würden, etwa Quadrooter.


eye home zur Startseite
My1 19. Okt 2016

actually, wenn die lücke groß genug ist ja, gibts beim PC oft genug, lücken die es...

Xiut 19. Okt 2016

Eine Mischung aus beidem wäre perfekt. Einfach den ChipTAN-Gerät eine einfache, billige...

Spaghetticode 19. Okt 2016

Das wollte ich gerade auch schreiben. Das Lesegerät kann man sich bei seiner Bank...

Spaghetticode 19. Okt 2016

Das hat man bei der Sparkasse inzwischen so umgestellt, dass man die letzten zehn...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Raum Düsseldorf
  2. Viega Holding GmbH & Co. KG, keine Angabe
  3. Samvardhana Motherson Innovative Autosystems B.V. & Co. KG., Michelau
  4. SICK AG, Waldkirch bei Freiburg im Breisgau


Anzeige
Top-Angebote
  1. 2.999,00€ (Vergleichspreis ab 3.895€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Trappist-1

    Der Zwerg und die sieben Planeten

  2. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt

  3. Server

    IBM stellt Komplettsystem für kleine Unternehmen vor

  4. Einspeisegebühr

    Netzbetreiber darf nicht nur einzelne Sender abkassieren

  5. Ultra-HD mit Dolby Vision

    Erst Harry Potter, dann die Abspielgeräte

  6. Perspective

    Google hilft, Forentrolle zu erkennen

  7. Microsoft und Gemalto

    Windows 10 bekommt native eSIM-Unterstützung

  8. Mobilfunk

    Telefónica verschlechtert Prepaid-Tarife

  9. Amazon Echo und Echo Dot im Test

    Alexa, so wird das nichts!

  10. Petunia Tech

    Wisoccero spielt Fußball



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

Anet A6 im Test: Wenn ein 3D-Drucker so viel wie seine Teile kostet
Anet A6 im Test
Wenn ein 3D-Drucker so viel wie seine Teile kostet
  1. Bat Bot Die Fledermaus wird zum Roboter
  2. Kickstarter / NexD1 Betrugsvorwürfe gegen 3D-Drucker-Startup
  3. 3D-Druck Spanische Architekten drucken eine Brücke

LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

  1. Re: Elektroschrott.

    jose.ramirez | 14:39

  2. Re: Funktionsprinzip?

    vlad_tepesch | 14:39

  3. Re: Nur kleinwaagen?

    IncredibleAlk | 14:38

  4. Re: ECC unterstützt!

    My2Cents | 14:38

  5. Re: Wer noch sucht:

    Melanchtor | 14:37


  1. 14:19

  2. 13:48

  3. 13:30

  4. 13:18

  5. 13:11

  6. 13:01

  7. 12:56

  8. 12:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel