Abo
  • Services:
Anzeige
Die pushTAN-App der Sparkasse lässt sich einfach austricksen.
Die pushTAN-App der Sparkasse lässt sich einfach austricksen. (Bild: Vincent Haupert/Screenshot: Golem.de)

Auch nachgebesserte App lässt sich austricksen

Auf dem 32C3 zeigte Haupert nun, dass diese Behauptung nicht stimmt. Zwar habe die Sparkasse durchaus nachgebessert, räumte er ein. So gebe es nun keine Java-Callbacks mehr, sondern die App stürze ab, wenn das Gerät gerootet ist. Zudem könne die Root-Erkennung nicht mehr trivial deaktiviert werden. Ebenfalls würden nun bekannte Hooking-Frameworks wie das von Haupert verwendete Xposed erkannt.

Aber auch diese Sicherheitsmerkmale ließen sich austricksen. So funktioniert die Root-Erkennung in der App, indem im Dateisystem nach bestimmten Inhalten gesucht wird, die für "su" charakteristisch sind, wie beispielsweise "/system/bin/su". Nachdem Haupert diese Dateien umbenannt hatte, funktioniert die S-pushTAN-App wieder. Die eigentliche App für das Onlinebanking erkennt aber weiterhin die erweiterten Rechte und gibt einen entsprechenden Hinweis. Allerdings wirkt sich das nicht auf die Funktionen aus.

Anzeige

Um die Xposed-Erkennung zu umgehen, musste Haupert ebenfalls einige Dateien umbenennen und zusätzlich das Programm neu kompilieren, um daraus die Zeichenkette Xposed zu eliminieren. Nach diesen Änderungen konnte er wieder eine Transaktion manipulieren. Was er mit einem Video den versammelten Hackern vorführte.

Bankenaufsicht fordert Einsatz von zwei Geräten

Hauperts Fazit: App-basierte TAN-Verfahren seien "konzeptionell schwach". Die Schutzmechanismen der pushTAN-App hätten zwar zugenommen, doch es handele sich dabei "um ein Katz-und-Maus-Spiel, das die Sparkasse am Ende immer verlieren wird". Die Rooting-Erkennung bringe der Sparkasse hauptsächlich verärgerte Nutzer ein, statt gegen echte Angriffe zu schützen. Zudem sei ein gerootetes Gerät nicht unbedingt eine Voraussetzung für einen solchen Angriff.

Die Frage stellt sich jedoch, warum die Apps für Onlinebanking und die TAN-Generierung überhaupt auf einem Gerät installiert werden dürfen. So heißt es in einem FAQ-Papier der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Ende Oktober zu den Mindestanforderungen an Onlinebanking inzwischen: "Allerdings muss das App-basierte Sicherungsverfahren und das tatsächliche Online-Banking unabhängig voneinander - also über verschiedene Geräte (i.S.v. verschiedene Kanäle) - erfolgen." Schon im August 2015, also noch vor der ersten Veröffentlichung Hauperts, hieß es im Bafin-Journal: "Die TAN sollte auf keinen Fall auf demselben Smartphone generiert werden, auf dem das Online-Banking stattfindet. Hat ein Betrüger das Smartphone gehackt, so kann er dadurch auf beide Verfahren zugreifen."

Vor dem Hintergrund dieser trivialen Erkenntnisse ist es verwunderlich, dass die Banken immer noch mit diesem Verfahren werben. Haupert selbst räumte ein, dass er durchaus Bankgeschäfte per Smartphone tätigt. Allerdings nutzt er keine pushTAN-App, sondern das Chip-TAN-Verfahren. Das sei noch einigermaßen sicher.

Nachtrag vom 29. Dezember 2015, 16:30 Uhr

Die Sparkassen verteidigten in einer Stellungnahme vom Dienstag ihr Angebot. Das Verfahren werde "unter Berücksichtigung der jeweils bekannten Sicherheitsrisiken ständig weiterentwickelt", heißt es in einem Blogbeitrag. Aus diesem Grund seien bislang keine Schäden eingetreten oder bekannt. "Tatsächliche Schadensfälle sind auch weiterhin sehr unwahrscheinlich", schreibt der DSGV.

Das von Haupert gezeigte Vorgehen weise eine hohe Komplexität auf. "Deshalb ist der gezeigte Angriff nur unter Laborbedingungen möglich", heißt es weiter. Zusätzlich sollte beachtet werden, dass ein solcher Angriff immer nur bei genau einer Version der pushTAN-App wirkungsvoll sei. Neue Versionen der pushTAN-App erforderten unter Umständen erneut einen hohen Aufwand seitens der Angreifer. Nach Ansicht der Sparkasse entspricht ihr pushTAN-Verfahren den Anforderungen der Bankenaufsicht, mit der man sich in regelmäßigem Austausch befinde.

 Onlinebanking: Sparkassen-App für pushTAN-Verfahren wieder gehackt

eye home zur Startseite
red creep 01. Jan 2016

Android ist ein offenes System. Deswegen kann man relativ leicht einen starken Angreifer...

hawgk 31. Dez 2015

Ich finde da hat die Sparkasse einen mMn fatalen Fehler echt gut unter den Tisch gekehrt...

lear 30. Dez 2015

Das hat nichts mit Android, geschweige denn (intendiertem) rooten, zu tun, sondern dem...

TC 30. Dez 2015

Na diese "Verknüpfung", ab und zu muss ich sie neu verknüpfen

TC 30. Dez 2015

zb Opera ;)



Anzeige

Stellenmarkt
  1. Joke Technology GmbH, Bergisch-Gladbach
  2. Robert Bosch Power Tools GmbH, Leinfelden-Echterdingen
  3. Fidor AG, München
  4. Daimler AG, Böblingen


Anzeige
Top-Angebote
  1. 147,89€ (Vergleichspreis ab 219€)
  2. 79,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  2. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  3. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  4. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  5. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen

  6. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  7. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  8. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  9. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  10. Supercomputer

    Der erste Exaflops-Rechner wird in China gebaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

Ex-Verfassungsgerichtspräsident Papier: Die Politik stellt sich beim BND-Gesetz taub
Ex-Verfassungsgerichtspräsident Papier
Die Politik stellt sich beim BND-Gesetz taub
  1. NSA-Ausschuss SPD empört über "Schweigekartell" der US-Konzerne
  2. Reporter ohne Grenzen Klage gegen BND-Überwachung teilweise gescheitert
  3. Drohnenkrieg USA räumen Datenweiterleitung über Ramstein ein

Anet A6 im Test: Wenn ein 3D-Drucker so viel wie seine Teile kostet
Anet A6 im Test
Wenn ein 3D-Drucker so viel wie seine Teile kostet
  1. Bat Bot Die Fledermaus wird zum Roboter
  2. Kickstarter / NexD1 Betrugsvorwürfe gegen 3D-Drucker-Startup
  3. 3D-Druck Spanische Architekten drucken eine Brücke

  1. Das was hier voellig irre ist ...

    flauschi123 | 06:12

  2. Re: Verzicht

    ThaKilla | 05:53

  3. Re: Es führt kein Weg an Windows vorbei

    FranzBekker | 05:50

  4. Re: Und was berechnen die wirklich?

    Komischer_Phreak | 05:41

  5. Re: Guter Artikel! Auch für Win-Fans

    narfomat | 04:06


  1. 18:33

  2. 17:38

  3. 16:38

  4. 16:27

  5. 15:23

  6. 14:00

  7. 13:12

  8. 12:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel