Abo
  • Services:

Auch nachgebesserte App lässt sich austricksen

Auf dem 32C3 zeigte Haupert nun, dass diese Behauptung nicht stimmt. Zwar habe die Sparkasse durchaus nachgebessert, räumte er ein. So gebe es nun keine Java-Callbacks mehr, sondern die App stürze ab, wenn das Gerät gerootet ist. Zudem könne die Root-Erkennung nicht mehr trivial deaktiviert werden. Ebenfalls würden nun bekannte Hooking-Frameworks wie das von Haupert verwendete Xposed erkannt.

Stellenmarkt
  1. Fachhochschule Südwestfalen, Hagen
  2. UnternehmerTUM GmbH, Garching bei München

Aber auch diese Sicherheitsmerkmale ließen sich austricksen. So funktioniert die Root-Erkennung in der App, indem im Dateisystem nach bestimmten Inhalten gesucht wird, die für "su" charakteristisch sind, wie beispielsweise "/system/bin/su". Nachdem Haupert diese Dateien umbenannt hatte, funktioniert die S-pushTAN-App wieder. Die eigentliche App für das Onlinebanking erkennt aber weiterhin die erweiterten Rechte und gibt einen entsprechenden Hinweis. Allerdings wirkt sich das nicht auf die Funktionen aus.

Um die Xposed-Erkennung zu umgehen, musste Haupert ebenfalls einige Dateien umbenennen und zusätzlich das Programm neu kompilieren, um daraus die Zeichenkette Xposed zu eliminieren. Nach diesen Änderungen konnte er wieder eine Transaktion manipulieren. Was er mit einem Video den versammelten Hackern vorführte.

Bankenaufsicht fordert Einsatz von zwei Geräten

Hauperts Fazit: App-basierte TAN-Verfahren seien "konzeptionell schwach". Die Schutzmechanismen der pushTAN-App hätten zwar zugenommen, doch es handele sich dabei "um ein Katz-und-Maus-Spiel, das die Sparkasse am Ende immer verlieren wird". Die Rooting-Erkennung bringe der Sparkasse hauptsächlich verärgerte Nutzer ein, statt gegen echte Angriffe zu schützen. Zudem sei ein gerootetes Gerät nicht unbedingt eine Voraussetzung für einen solchen Angriff.

Die Frage stellt sich jedoch, warum die Apps für Onlinebanking und die TAN-Generierung überhaupt auf einem Gerät installiert werden dürfen. So heißt es in einem FAQ-Papier der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Ende Oktober zu den Mindestanforderungen an Onlinebanking inzwischen: "Allerdings muss das App-basierte Sicherungsverfahren und das tatsächliche Online-Banking unabhängig voneinander - also über verschiedene Geräte (i.S.v. verschiedene Kanäle) - erfolgen." Schon im August 2015, also noch vor der ersten Veröffentlichung Hauperts, hieß es im Bafin-Journal: "Die TAN sollte auf keinen Fall auf demselben Smartphone generiert werden, auf dem das Online-Banking stattfindet. Hat ein Betrüger das Smartphone gehackt, so kann er dadurch auf beide Verfahren zugreifen."

Vor dem Hintergrund dieser trivialen Erkenntnisse ist es verwunderlich, dass die Banken immer noch mit diesem Verfahren werben. Haupert selbst räumte ein, dass er durchaus Bankgeschäfte per Smartphone tätigt. Allerdings nutzt er keine pushTAN-App, sondern das Chip-TAN-Verfahren. Das sei noch einigermaßen sicher.

Nachtrag vom 29. Dezember 2015, 16:30 Uhr

Die Sparkassen verteidigten in einer Stellungnahme vom Dienstag ihr Angebot. Das Verfahren werde "unter Berücksichtigung der jeweils bekannten Sicherheitsrisiken ständig weiterentwickelt", heißt es in einem Blogbeitrag. Aus diesem Grund seien bislang keine Schäden eingetreten oder bekannt. "Tatsächliche Schadensfälle sind auch weiterhin sehr unwahrscheinlich", schreibt der DSGV.

Das von Haupert gezeigte Vorgehen weise eine hohe Komplexität auf. "Deshalb ist der gezeigte Angriff nur unter Laborbedingungen möglich", heißt es weiter. Zusätzlich sollte beachtet werden, dass ein solcher Angriff immer nur bei genau einer Version der pushTAN-App wirkungsvoll sei. Neue Versionen der pushTAN-App erforderten unter Umständen erneut einen hohen Aufwand seitens der Angreifer. Nach Ansicht der Sparkasse entspricht ihr pushTAN-Verfahren den Anforderungen der Bankenaufsicht, mit der man sich in regelmäßigem Austausch befinde.

 Onlinebanking: Sparkassen-App für pushTAN-Verfahren wieder gehackt
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. 59,90€
  2. ab 349€

Bachsau 03. Mär 2017

Das finde ich ja mal völlig daneben. Jeder sollte das Recht haben auf dem eigenen Gerät...

red creep 01. Jan 2016

Android ist ein offenes System. Deswegen kann man relativ leicht einen starken Angreifer...

hawgk 31. Dez 2015

Ich finde da hat die Sparkasse einen mMn fatalen Fehler echt gut unter den Tisch gekehrt...

lear 30. Dez 2015

Das hat nichts mit Android, geschweige denn (intendiertem) rooten, zu tun, sondern dem...

TC 30. Dez 2015

Na diese "Verknüpfung", ab und zu muss ich sie neu verknüpfen


Folgen Sie uns
       


PC Building Simulator - Test

Der PC Building Simulator stellt sich im Test als langweiliges Spiel, aber gutes Product Placement heraus - inklusive falscher Informationen und Grafikfehlern.

PC Building Simulator - Test Video aufrufen
Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

Recycling: Die Plastikwaschmaschine
Recycling
Die Plastikwaschmaschine

Seit Kurzem importiert China kaum noch Müll aus dem Ausland. Damit hat Deutschland ein Problem. Wohin mit all dem Kunststoffabfall? Michael Hofmann will die Lösung kennen: Er bietet eine Technologie an, die den Abfall in Wertstoff verwandelt.
Ein Bericht von Daniel Hautmann


    Leserumfrage: Wie sollen wir Golem.de erweitern?
    Leserumfrage
    Wie sollen wir Golem.de erweitern?

    In unserer ersten Umfrage haben wir erfahren, dass Sie grundlegend mit uns zufrieden sind. Nun möchten wir wissen: Was können wir noch besser machen? Und welche Zusatzangebote wünschen Sie sich?

    1. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
    2. Leserumfrage Wie gefällt Ihnen Golem.de?
    3. Jahresrückblick 2017 Das Jahr der 20 Jahre

      •  /