Auch nachgebesserte App lässt sich austricksen

Auf dem 32C3 zeigte Haupert nun, dass diese Behauptung nicht stimmt. Zwar habe die Sparkasse durchaus nachgebessert, räumte er ein. So gebe es nun keine Java-Callbacks mehr, sondern die App stürze ab, wenn das Gerät gerootet ist. Zudem könne die Root-Erkennung nicht mehr trivial deaktiviert werden. Ebenfalls würden nun bekannte Hooking-Frameworks wie das von Haupert verwendete Xposed erkannt.

Stellenmarkt
  1. IT-Leiter (m/w/d)
    Hays AG, Nürnberg
  2. SAP-Systemanalytiker*in
    UNI ELEKTRO Fachgroßhandel GmbH & Co. KG, Eschborn
Detailsuche

Aber auch diese Sicherheitsmerkmale ließen sich austricksen. So funktioniert die Root-Erkennung in der App, indem im Dateisystem nach bestimmten Inhalten gesucht wird, die für "su" charakteristisch sind, wie beispielsweise "/system/bin/su". Nachdem Haupert diese Dateien umbenannt hatte, funktioniert die S-pushTAN-App wieder. Die eigentliche App für das Onlinebanking erkennt aber weiterhin die erweiterten Rechte und gibt einen entsprechenden Hinweis. Allerdings wirkt sich das nicht auf die Funktionen aus.

Um die Xposed-Erkennung zu umgehen, musste Haupert ebenfalls einige Dateien umbenennen und zusätzlich das Programm neu kompilieren, um daraus die Zeichenkette Xposed zu eliminieren. Nach diesen Änderungen konnte er wieder eine Transaktion manipulieren. Was er mit einem Video den versammelten Hackern vorführte.

Bankenaufsicht fordert Einsatz von zwei Geräten

Hauperts Fazit: App-basierte TAN-Verfahren seien "konzeptionell schwach". Die Schutzmechanismen der pushTAN-App hätten zwar zugenommen, doch es handele sich dabei "um ein Katz-und-Maus-Spiel, das die Sparkasse am Ende immer verlieren wird". Die Rooting-Erkennung bringe der Sparkasse hauptsächlich verärgerte Nutzer ein, statt gegen echte Angriffe zu schützen. Zudem sei ein gerootetes Gerät nicht unbedingt eine Voraussetzung für einen solchen Angriff.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Die Frage stellt sich jedoch, warum die Apps für Onlinebanking und die TAN-Generierung überhaupt auf einem Gerät installiert werden dürfen. So heißt es in einem FAQ-Papier der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Ende Oktober zu den Mindestanforderungen an Onlinebanking inzwischen: "Allerdings muss das App-basierte Sicherungsverfahren und das tatsächliche Online-Banking unabhängig voneinander - also über verschiedene Geräte (i.S.v. verschiedene Kanäle) - erfolgen." Schon im August 2015, also noch vor der ersten Veröffentlichung Hauperts, hieß es im Bafin-Journal: "Die TAN sollte auf keinen Fall auf demselben Smartphone generiert werden, auf dem das Online-Banking stattfindet. Hat ein Betrüger das Smartphone gehackt, so kann er dadurch auf beide Verfahren zugreifen."

Vor dem Hintergrund dieser trivialen Erkenntnisse ist es verwunderlich, dass die Banken immer noch mit diesem Verfahren werben. Haupert selbst räumte ein, dass er durchaus Bankgeschäfte per Smartphone tätigt. Allerdings nutzt er keine pushTAN-App, sondern das Chip-TAN-Verfahren. Das sei noch einigermaßen sicher.

Nachtrag vom 29. Dezember 2015, 16:30 Uhr

Die Sparkassen verteidigten in einer Stellungnahme vom Dienstag ihr Angebot. Das Verfahren werde "unter Berücksichtigung der jeweils bekannten Sicherheitsrisiken ständig weiterentwickelt", heißt es in einem Blogbeitrag. Aus diesem Grund seien bislang keine Schäden eingetreten oder bekannt. "Tatsächliche Schadensfälle sind auch weiterhin sehr unwahrscheinlich", schreibt der DSGV.

Das von Haupert gezeigte Vorgehen weise eine hohe Komplexität auf. "Deshalb ist der gezeigte Angriff nur unter Laborbedingungen möglich", heißt es weiter. Zusätzlich sollte beachtet werden, dass ein solcher Angriff immer nur bei genau einer Version der pushTAN-App wirkungsvoll sei. Neue Versionen der pushTAN-App erforderten unter Umständen erneut einen hohen Aufwand seitens der Angreifer. Nach Ansicht der Sparkasse entspricht ihr pushTAN-Verfahren den Anforderungen der Bankenaufsicht, mit der man sich in regelmäßigem Austausch befinde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Onlinebanking: Sparkassen-App für pushTAN-Verfahren wieder gehackt
  1.  
  2. 1
  3. 2


Bachsau 03. Mär 2017

Das finde ich ja mal völlig daneben. Jeder sollte das Recht haben auf dem eigenen Gerät...

red creep 01. Jan 2016

Android ist ein offenes System. Deswegen kann man relativ leicht einen starken Angreifer...

hawgk 31. Dez 2015

Ich finde da hat die Sparkasse einen mMn fatalen Fehler echt gut unter den Tisch gekehrt...

lear 30. Dez 2015

Das hat nichts mit Android, geschweige denn (intendiertem) rooten, zu tun, sondern dem...

TC 30. Dez 2015

Na diese "Verknüpfung", ab und zu muss ich sie neu verknüpfen



Aktuell auf der Startseite von Golem.de
Kanadische Polizei
Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
Artikel
  1. Blender Foundation: Blender 3.0 ist da
    Blender Foundation
    Blender 3.0 ist da

    Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
    Von Martin Wolf

  2. 4 Motoren und 4-Rad-Lenkung: Tesla aktualisiert Cybertruck
    4 Motoren und 4-Rad-Lenkung
    Tesla aktualisiert Cybertruck

    Tesla-Chef Elon Musk hat einige Änderungen am Cybertruck angekündigt. Der elektrische Pick-up-Truck wird mit vier Motoren ausgerüstet.

  3. DSIRF: Hackerbehörde Zitis prüft österreichischen Staatstrojaner
    DSIRF
    Hackerbehörde Zitis prüft österreichischen Staatstrojaner

    Deutsche Behörden sind mit mehreren Staatstrojaner-Herstellern im Gespräch. Nun ist ein weiterer mit Sitz in Wien bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /