Abo
  • Services:
Anzeige
Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Commerzbank und Deutsche Bank: Forscher zeigen Angriff auf Photo-Tan-Verfahren

Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Das Photo-Tan-Verfahren sollte ursprünglich als zweiter Faktor Überweisungen absichern. Weil das nicht mehr geschieht, und die Banken nachlässig programmierte Apps entwickeln, ist das Verfahren angreifbar.

Einem Team von Forschern ist es gelungen, das von verschiedenen Banken eingesetzte Photo-Tan-Verfahren zu knacken, wie zunächst die Süddeutsche Zeitung berichtet hat. Photo-Tan war ursprünglich als Verfahren für eine Zwei-Faktor-Authentifizierung gedacht, kann aber auch auf einem Smartphone gemeinsam mit einer Banking-App verwendet werden - genau hier liegt das Problem.

Anzeige

Die Schwachstellen des Verfahrens werden von den beiden Wissenschaftlern Tilo Müller und Vincent Haupert der Friedrich-Alexander-Universität Erlangen-Nürnberg in einer Studie beschrieben [PDF]. Ursprünglich entwickelt wurde das Verfahren als zusätzliche Absicherung für Online-Transaktionen. Dazu erstellt der Online-Bankservice eine sogenannte Photo-Tan, einen mehrfarbigen Matrix-Code. Ursprünglich mussten Nutzer eine von dem Programm kreierte Photo-Tan mit dem Smartphone abfotografieren, um eine Transaktion zu bestätigen.

Das Verfahren wird jedoch mittlerweile von Banken wie der Commerzbank, der Norisbank und der Deutschen Bank anders eingesetzt - als zweite App auf dem Smartphone. Das Abfotografieren des Codes entfällt, stattdessen werden die entsprechenden Daten im Hintergrund von der Photo-Tan-App an die Banking-App übermittelt.

Damit eröffnen die teilnehmenden Banken den Forschern, und möglicherweise Kriminellen, einen Weg, Transaktionen auf ein anderes Konto umzuleiten und diese Umleitung auf dem Smartphone mit gefälschten Daten zu verschleiern. Erst bei späterer Prüfung der Kontoauszüge oder des Online-Bankings würde die Manipulation auffallen.

Mehrere Schwachstellen im App-Design

Die Photo-Tan-Apps der Hersteller haben mehrere Schwachstellen. So wird zwar überprüft, ob eine Anfrage vom gleichen Gerät gestellt wird wie die von der Banking-App gesendete Anfrage. Doch die Sicherung läuft nur über die Android-ID oder die IMEI-Nummer des Gerätes - beide Werte könnten von Angreifern gefälscht werden. Außerdem überprüft keine der getesteten Apps, ob das Gerät der Nutzer gerootet ist - und kann somit auch keine Warnmeldung anzeigen. Auch einen Schutz gegen Repackaging haben nicht alle Apps, Angreifer könnten demnach Nutzern eine veränderte Version der App unterschieben.

Haupert und Müller fingen in ihrem Angriffsszenario die Zugangsdaten der Banking-App noch auf dem Smartphone ab und starteten einen Man-in-the-Middle-Angriff, bei dem der Traffic der Kunden zunächst über einen Server der Angreifer geleitet wurde. An dieser Stelle könnten dann Parameter für eine Überweisung generiert werden und an die Bank weitergeleitet werden.

Angreifer manipulieren Anzeige in der App

Erst dann wird der Vorgang von der Banking-App an den Photo-Tan-Service gesendet. Auch hier werden im Vordergrund die legitimen Daten der Kunden angezeigt, im Hintergrund aber die manipulierten der Angreifer. Die Photo-Tan-App sendet dann eine entschlüsselte Version der Matrix-Grafik an die Banking-App, außerdem muss der Nutzer die Transaktion bestätigen. Dann wird die Überweisung freigegeben.

Um den Angriff in der Realität durchführen zu können, müssten Angreifer ihr Opfer zur Installation von Schadsoftware auf dem Smartphone bringen, die dann die Kontrolle über die Apps übernimmt. Gerade angesichts der zahlreichen in der Realität wegen verzögerter Updates ungepatchten Schwachstellen in Android gibt es hier immer wieder reale Angriffsszenarien. Müller und Haupert verweisen in ihrem Papier auf zahlreiche bekannt gewordene Schwachstellen und Schadsoftware-Familien, die entsprechende Angriffe ermöglichen würden, etwa Quadrooter.


eye home zur Startseite
My1 19. Okt 2016

actually, wenn die lücke groß genug ist ja, gibts beim PC oft genug, lücken die es...

Xiut 19. Okt 2016

Eine Mischung aus beidem wäre perfekt. Einfach den ChipTAN-Gerät eine einfache, billige...

Spaghetticode 19. Okt 2016

Das wollte ich gerade auch schreiben. Das Lesegerät kann man sich bei seiner Bank...

Spaghetticode 19. Okt 2016

Das hat man bei der Sparkasse inzwischen so umgestellt, dass man die letzten zehn...



Anzeige

Stellenmarkt
  1. Continental AG, Babenhausen
  2. Bundeskriminalamt, Wiesbaden
  3. DZ PRIVATBANK S.A., Luxemburg
  4. operational services GmbH & Co. KG, München / Ottobrunn


Anzeige
Spiele-Angebote
  1. 12,99€
  2. 16,99€

Folgen Sie uns
       


  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Science-Fiction wird real: Kampf der Robotergiganten
Science-Fiction wird real
Kampf der Robotergiganten
  1. Roboter Megabots kündigt Video vom Roboterkampf an
  2. IFR Zahl der verkauften Haushaltsroboter steigt stark an
  3. Automatisierung Südkorea erwägt eine Robotersteuer

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Wenn ich das jetzt recht verstanden habe...

    ve2000 | 02:01

  2. Fehlendes Alleinstellungsmerkmal kann positiv...

    Dadie | 01:49

  3. Re: Was ist wenn meine Webseite Https erzwingt?

    ve2000 | 01:49

  4. Re: Preis - Fehler?

    Slurpee | 01:42

  5. Re: Der "Fortschritt" ist inzwischen nur noch...

    Slurpee | 01:41


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel