Abo
  • Services:
Anzeige
Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Commerzbank und Deutsche Bank: Forscher zeigen Angriff auf Photo-Tan-Verfahren

Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Das Photo-Tan-Verfahren sollte ursprünglich als zweiter Faktor Überweisungen absichern. Weil das nicht mehr geschieht, und die Banken nachlässig programmierte Apps entwickeln, ist das Verfahren angreifbar.

Einem Team von Forschern ist es gelungen, das von verschiedenen Banken eingesetzte Photo-Tan-Verfahren zu knacken, wie zunächst die Süddeutsche Zeitung berichtet hat. Photo-Tan war ursprünglich als Verfahren für eine Zwei-Faktor-Authentifizierung gedacht, kann aber auch auf einem Smartphone gemeinsam mit einer Banking-App verwendet werden - genau hier liegt das Problem.

Anzeige

Die Schwachstellen des Verfahrens werden von den beiden Wissenschaftlern Tilo Müller und Vincent Haupert der Friedrich-Alexander-Universität Erlangen-Nürnberg in einer Studie beschrieben [PDF]. Ursprünglich entwickelt wurde das Verfahren als zusätzliche Absicherung für Online-Transaktionen. Dazu erstellt der Online-Bankservice eine sogenannte Photo-Tan, einen mehrfarbigen Matrix-Code. Ursprünglich mussten Nutzer eine von dem Programm kreierte Photo-Tan mit dem Smartphone abfotografieren, um eine Transaktion zu bestätigen.

Das Verfahren wird jedoch mittlerweile von Banken wie der Commerzbank, der Norisbank und der Deutschen Bank anders eingesetzt - als zweite App auf dem Smartphone. Das Abfotografieren des Codes entfällt, stattdessen werden die entsprechenden Daten im Hintergrund von der Photo-Tan-App an die Banking-App übermittelt.

Damit eröffnen die teilnehmenden Banken den Forschern, und möglicherweise Kriminellen, einen Weg, Transaktionen auf ein anderes Konto umzuleiten und diese Umleitung auf dem Smartphone mit gefälschten Daten zu verschleiern. Erst bei späterer Prüfung der Kontoauszüge oder des Online-Bankings würde die Manipulation auffallen.

Mehrere Schwachstellen im App-Design

Die Photo-Tan-Apps der Hersteller haben mehrere Schwachstellen. So wird zwar überprüft, ob eine Anfrage vom gleichen Gerät gestellt wird wie die von der Banking-App gesendete Anfrage. Doch die Sicherung läuft nur über die Android-ID oder die IMEI-Nummer des Gerätes - beide Werte könnten von Angreifern gefälscht werden. Außerdem überprüft keine der getesteten Apps, ob das Gerät der Nutzer gerootet ist - und kann somit auch keine Warnmeldung anzeigen. Auch einen Schutz gegen Repackaging haben nicht alle Apps, Angreifer könnten demnach Nutzern eine veränderte Version der App unterschieben.

Haupert und Müller fingen in ihrem Angriffsszenario die Zugangsdaten der Banking-App noch auf dem Smartphone ab und starteten einen Man-in-the-Middle-Angriff, bei dem der Traffic der Kunden zunächst über einen Server der Angreifer geleitet wurde. An dieser Stelle könnten dann Parameter für eine Überweisung generiert werden und an die Bank weitergeleitet werden.

Angreifer manipulieren Anzeige in der App

Erst dann wird der Vorgang von der Banking-App an den Photo-Tan-Service gesendet. Auch hier werden im Vordergrund die legitimen Daten der Kunden angezeigt, im Hintergrund aber die manipulierten der Angreifer. Die Photo-Tan-App sendet dann eine entschlüsselte Version der Matrix-Grafik an die Banking-App, außerdem muss der Nutzer die Transaktion bestätigen. Dann wird die Überweisung freigegeben.

Um den Angriff in der Realität durchführen zu können, müssten Angreifer ihr Opfer zur Installation von Schadsoftware auf dem Smartphone bringen, die dann die Kontrolle über die Apps übernimmt. Gerade angesichts der zahlreichen in der Realität wegen verzögerter Updates ungepatchten Schwachstellen in Android gibt es hier immer wieder reale Angriffsszenarien. Müller und Haupert verweisen in ihrem Papier auf zahlreiche bekannt gewordene Schwachstellen und Schadsoftware-Familien, die entsprechende Angriffe ermöglichen würden, etwa Quadrooter.


eye home zur Startseite
My1 19. Okt 2016

actually, wenn die lücke groß genug ist ja, gibts beim PC oft genug, lücken die es...

Xiut 19. Okt 2016

Eine Mischung aus beidem wäre perfekt. Einfach den ChipTAN-Gerät eine einfache, billige...

Spaghetticode 19. Okt 2016

Das wollte ich gerade auch schreiben. Das Lesegerät kann man sich bei seiner Bank...

Spaghetticode 19. Okt 2016

Das hat man bei der Sparkasse inzwischen so umgestellt, dass man die letzten zehn...



Anzeige

Stellenmarkt
  1. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. Bundeskriminalamt, Berlin, Meckenheim bei Bonn, Wiesbaden
  3. Robert Bosch GmbH, Abstatt
  4. Travian Games GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Glasfaser

    M-net hat genauso viele FTTB/H-Kunden wie die Telekom

  2. 240 Kilometer

    1&1 Versatel erweitert Glasfasernetz in Norddeutschland

  3. MobileCoin

    Neue Cryptowährung von Signal-Erfinder Marlinspike

  4. Soziales Netzwerk

    Facebook geht gegen Engagement-Bait-Beiträge vor

  5. Call of Duty

    Infinity Ward eröffnet Niederlassung in Polen

  6. SuperMUC-NG

    Münchner Supercomputer wird einer der schnellsten weltweit

  7. Ralf Kleber

    Amazon plant Ladengeschäfte in Deutschland

  8. Firefox

    Mozilla verärgert Nutzer mit ungefragter Addon-Installation

  9. Knights Mill

    Intel hat drei Xeon Phi für Deep Learning

  10. Windows 10

    Kritische Lücke in vorinstalliertem Passwortmanager



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich

  1. Re: Verwundert, warum die OS Umgebung keine...

    Alex_M | 19:47

  2. 5 bis 7 Jahre Testphase

    Luu | 19:37

  3. Re: EU beschlossenen Regeln zur Netzneutralität

    redwolf | 19:37

  4. Re: Warum?

    thinksimple | 19:36

  5. Re: An die Experten: Macht ein Aufrüsten Sinn?

    Eop | 19:17


  1. 18:24

  2. 17:49

  3. 17:36

  4. 17:05

  5. 16:01

  6. 15:42

  7. 15:08

  8. 13:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel