Abo
  • Services:
Anzeige
Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Commerzbank und Deutsche Bank: Forscher zeigen Angriff auf Photo-Tan-Verfahren

Das Photo-Tan-Verfahren lässt sich manipulieren.
Das Photo-Tan-Verfahren lässt sich manipulieren. (Bild: Commerzbank)

Das Photo-Tan-Verfahren sollte ursprünglich als zweiter Faktor Überweisungen absichern. Weil das nicht mehr geschieht, und die Banken nachlässig programmierte Apps entwickeln, ist das Verfahren angreifbar.

Einem Team von Forschern ist es gelungen, das von verschiedenen Banken eingesetzte Photo-Tan-Verfahren zu knacken, wie zunächst die Süddeutsche Zeitung berichtet hat. Photo-Tan war ursprünglich als Verfahren für eine Zwei-Faktor-Authentifizierung gedacht, kann aber auch auf einem Smartphone gemeinsam mit einer Banking-App verwendet werden - genau hier liegt das Problem.

Anzeige

Die Schwachstellen des Verfahrens werden von den beiden Wissenschaftlern Tilo Müller und Vincent Haupert der Friedrich-Alexander-Universität Erlangen-Nürnberg in einer Studie beschrieben [PDF]. Ursprünglich entwickelt wurde das Verfahren als zusätzliche Absicherung für Online-Transaktionen. Dazu erstellt der Online-Bankservice eine sogenannte Photo-Tan, einen mehrfarbigen Matrix-Code. Ursprünglich mussten Nutzer eine von dem Programm kreierte Photo-Tan mit dem Smartphone abfotografieren, um eine Transaktion zu bestätigen.

Das Verfahren wird jedoch mittlerweile von Banken wie der Commerzbank, der Norisbank und der Deutschen Bank anders eingesetzt - als zweite App auf dem Smartphone. Das Abfotografieren des Codes entfällt, stattdessen werden die entsprechenden Daten im Hintergrund von der Photo-Tan-App an die Banking-App übermittelt.

Damit eröffnen die teilnehmenden Banken den Forschern, und möglicherweise Kriminellen, einen Weg, Transaktionen auf ein anderes Konto umzuleiten und diese Umleitung auf dem Smartphone mit gefälschten Daten zu verschleiern. Erst bei späterer Prüfung der Kontoauszüge oder des Online-Bankings würde die Manipulation auffallen.

Mehrere Schwachstellen im App-Design

Die Photo-Tan-Apps der Hersteller haben mehrere Schwachstellen. So wird zwar überprüft, ob eine Anfrage vom gleichen Gerät gestellt wird wie die von der Banking-App gesendete Anfrage. Doch die Sicherung läuft nur über die Android-ID oder die IMEI-Nummer des Gerätes - beide Werte könnten von Angreifern gefälscht werden. Außerdem überprüft keine der getesteten Apps, ob das Gerät der Nutzer gerootet ist - und kann somit auch keine Warnmeldung anzeigen. Auch einen Schutz gegen Repackaging haben nicht alle Apps, Angreifer könnten demnach Nutzern eine veränderte Version der App unterschieben.

Haupert und Müller fingen in ihrem Angriffsszenario die Zugangsdaten der Banking-App noch auf dem Smartphone ab und starteten einen Man-in-the-Middle-Angriff, bei dem der Traffic der Kunden zunächst über einen Server der Angreifer geleitet wurde. An dieser Stelle könnten dann Parameter für eine Überweisung generiert werden und an die Bank weitergeleitet werden.

Angreifer manipulieren Anzeige in der App

Erst dann wird der Vorgang von der Banking-App an den Photo-Tan-Service gesendet. Auch hier werden im Vordergrund die legitimen Daten der Kunden angezeigt, im Hintergrund aber die manipulierten der Angreifer. Die Photo-Tan-App sendet dann eine entschlüsselte Version der Matrix-Grafik an die Banking-App, außerdem muss der Nutzer die Transaktion bestätigen. Dann wird die Überweisung freigegeben.

Um den Angriff in der Realität durchführen zu können, müssten Angreifer ihr Opfer zur Installation von Schadsoftware auf dem Smartphone bringen, die dann die Kontrolle über die Apps übernimmt. Gerade angesichts der zahlreichen in der Realität wegen verzögerter Updates ungepatchten Schwachstellen in Android gibt es hier immer wieder reale Angriffsszenarien. Müller und Haupert verweisen in ihrem Papier auf zahlreiche bekannt gewordene Schwachstellen und Schadsoftware-Familien, die entsprechende Angriffe ermöglichen würden, etwa Quadrooter.


eye home zur Startseite
My1 19. Okt 2016

actually, wenn die lücke groß genug ist ja, gibts beim PC oft genug, lücken die es...

Xiut 19. Okt 2016

Eine Mischung aus beidem wäre perfekt. Einfach den ChipTAN-Gerät eine einfache, billige...

Spaghetticode 19. Okt 2016

Das wollte ich gerade auch schreiben. Das Lesegerät kann man sich bei seiner Bank...

Spaghetticode 19. Okt 2016

Das hat man bei der Sparkasse inzwischen so umgestellt, dass man die letzten zehn...



Anzeige

Stellenmarkt
  1. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf
  2. Atlas Copco - Synatec GmbH, Stuttgart
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. dSPACE GmbH, Paderborn


Anzeige
Hardware-Angebote
  1. 24,04€
  2. 699€

Folgen Sie uns
       


  1. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  2. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  3. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  4. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  5. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  6. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft

  7. Bundestagswahl

    Innenminister sieht bislang keine Einmischung Russlands

  8. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  9. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  10. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  1. Re: CO2 Ausstoß dieses Akkus bei der Produktion?

    Onkel Ho | 03:36

  2. Re: Beweise?

    LinuxMcBook | 02:59

  3. Re: Apple schafft das, was Microsoft nie...

    plutoniumsulfat | 02:54

  4. Re: Und darum brauchen wir eine echte...

    quasides | 02:36

  5. Re: Wie viel muss sich die dubiose "Antiviren...

    bombinho | 02:36


  1. 18:10

  2. 17:45

  3. 17:17

  4. 16:47

  5. 16:32

  6. 16:22

  7. 16:16

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel