Abo
  • Services:
Anzeige
Die pushTAN-App der Sparkasse lässt sich einfach austricksen.
Die pushTAN-App der Sparkasse lässt sich einfach austricksen. (Bild: Vincent Haupert/Screenshot: Golem.de)

Auch nachgebesserte App lässt sich austricksen

Auf dem 32C3 zeigte Haupert nun, dass diese Behauptung nicht stimmt. Zwar habe die Sparkasse durchaus nachgebessert, räumte er ein. So gebe es nun keine Java-Callbacks mehr, sondern die App stürze ab, wenn das Gerät gerootet ist. Zudem könne die Root-Erkennung nicht mehr trivial deaktiviert werden. Ebenfalls würden nun bekannte Hooking-Frameworks wie das von Haupert verwendete Xposed erkannt.

Aber auch diese Sicherheitsmerkmale ließen sich austricksen. So funktioniert die Root-Erkennung in der App, indem im Dateisystem nach bestimmten Inhalten gesucht wird, die für "su" charakteristisch sind, wie beispielsweise "/system/bin/su". Nachdem Haupert diese Dateien umbenannt hatte, funktioniert die S-pushTAN-App wieder. Die eigentliche App für das Onlinebanking erkennt aber weiterhin die erweiterten Rechte und gibt einen entsprechenden Hinweis. Allerdings wirkt sich das nicht auf die Funktionen aus.

Anzeige

Um die Xposed-Erkennung zu umgehen, musste Haupert ebenfalls einige Dateien umbenennen und zusätzlich das Programm neu kompilieren, um daraus die Zeichenkette Xposed zu eliminieren. Nach diesen Änderungen konnte er wieder eine Transaktion manipulieren. Was er mit einem Video den versammelten Hackern vorführte.

Bankenaufsicht fordert Einsatz von zwei Geräten

Hauperts Fazit: App-basierte TAN-Verfahren seien "konzeptionell schwach". Die Schutzmechanismen der pushTAN-App hätten zwar zugenommen, doch es handele sich dabei "um ein Katz-und-Maus-Spiel, das die Sparkasse am Ende immer verlieren wird". Die Rooting-Erkennung bringe der Sparkasse hauptsächlich verärgerte Nutzer ein, statt gegen echte Angriffe zu schützen. Zudem sei ein gerootetes Gerät nicht unbedingt eine Voraussetzung für einen solchen Angriff.

Die Frage stellt sich jedoch, warum die Apps für Onlinebanking und die TAN-Generierung überhaupt auf einem Gerät installiert werden dürfen. So heißt es in einem FAQ-Papier der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Ende Oktober zu den Mindestanforderungen an Onlinebanking inzwischen: "Allerdings muss das App-basierte Sicherungsverfahren und das tatsächliche Online-Banking unabhängig voneinander - also über verschiedene Geräte (i.S.v. verschiedene Kanäle) - erfolgen." Schon im August 2015, also noch vor der ersten Veröffentlichung Hauperts, hieß es im Bafin-Journal: "Die TAN sollte auf keinen Fall auf demselben Smartphone generiert werden, auf dem das Online-Banking stattfindet. Hat ein Betrüger das Smartphone gehackt, so kann er dadurch auf beide Verfahren zugreifen."

Vor dem Hintergrund dieser trivialen Erkenntnisse ist es verwunderlich, dass die Banken immer noch mit diesem Verfahren werben. Haupert selbst räumte ein, dass er durchaus Bankgeschäfte per Smartphone tätigt. Allerdings nutzt er keine pushTAN-App, sondern das Chip-TAN-Verfahren. Das sei noch einigermaßen sicher.

Nachtrag vom 29. Dezember 2015, 16:30 Uhr

Die Sparkassen verteidigten in einer Stellungnahme vom Dienstag ihr Angebot. Das Verfahren werde "unter Berücksichtigung der jeweils bekannten Sicherheitsrisiken ständig weiterentwickelt", heißt es in einem Blogbeitrag. Aus diesem Grund seien bislang keine Schäden eingetreten oder bekannt. "Tatsächliche Schadensfälle sind auch weiterhin sehr unwahrscheinlich", schreibt der DSGV.

Das von Haupert gezeigte Vorgehen weise eine hohe Komplexität auf. "Deshalb ist der gezeigte Angriff nur unter Laborbedingungen möglich", heißt es weiter. Zusätzlich sollte beachtet werden, dass ein solcher Angriff immer nur bei genau einer Version der pushTAN-App wirkungsvoll sei. Neue Versionen der pushTAN-App erforderten unter Umständen erneut einen hohen Aufwand seitens der Angreifer. Nach Ansicht der Sparkasse entspricht ihr pushTAN-Verfahren den Anforderungen der Bankenaufsicht, mit der man sich in regelmäßigem Austausch befinde.

 Onlinebanking: Sparkassen-App für pushTAN-Verfahren wieder gehackt

eye home zur Startseite
Bachsau 03. Mär 2017

Das finde ich ja mal völlig daneben. Jeder sollte das Recht haben auf dem eigenen Gerät...

red creep 01. Jan 2016

Android ist ein offenes System. Deswegen kann man relativ leicht einen starken Angreifer...

hawgk 31. Dez 2015

Ich finde da hat die Sparkasse einen mMn fatalen Fehler echt gut unter den Tisch gekehrt...

lear 30. Dez 2015

Das hat nichts mit Android, geschweige denn (intendiertem) rooten, zu tun, sondern dem...

TC 30. Dez 2015

Na diese "Verknüpfung", ab und zu muss ich sie neu verknüpfen



Anzeige

Stellenmarkt
  1. ALDI SÜD, Mülheim an der Ruhr
  2. Robert Bosch GmbH, Leonberg
  3. Springer Nature, Berlin
  4. aiticon GmbH, Frankfurt am Main, Hoppstädten-Weiersbach


Anzeige
Top-Angebote
  1. 395,00€
  2. 44,99€
  3. 29,00€

Folgen Sie uns
       


  1. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  2. Kupfer

    Nokia hält Terabit DSL für überflüssig

  3. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  4. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  5. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  6. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  7. Skills

    Amazon lässt Alexa natürlicher klingen

  8. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  9. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor

  10. Tado im Langzeittest

    Am Ende der Heizperiode



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr
  2. Asus Tinker Board im Test Buntes Lotterielos rechnet schnell

Quantencomputer: Was sind diese Qubits?
Quantencomputer
Was sind diese Qubits?
  1. IBM Q Mehr Qubits von IBM
  2. Verschlüsselung Kryptographie im Quantenzeitalter
  3. Quantencomputer Bosonen statt Qubits

HTC U11 im Hands on: HTCs neues Smartphone will gedrückt werden
HTC U11 im Hands on
HTCs neues Smartphone will gedrückt werden
  1. HTC Vive Virtual Reality im Monatsabo
  2. Sense Companion HTCs digitaler Assistent ist verfügbar
  3. HTC U Ultra im Test Neues Gehäuse, kleines Display, bekannte Kamera

  1. Re: LTI = Lifetime Insurance

    Sharra | 21:44

  2. Re: Frequenzvermüllung

    Sicaine | 21:43

  3. Re: macht Tesla nicht übermäßig viel Miese mit...

    Stefan99 | 21:42

  4. Re: Hmm vor 2-3 Monaten hieß es noch vor 2020...

    bccc1 | 21:40

  5. Re: danke, lieber Entwickler

    Neuro-Chef | 21:39


  1. 18:45

  2. 16:35

  3. 16:20

  4. 16:00

  5. 15:37

  6. 15:01

  7. 13:34

  8. 13:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel