Abo
  • Services:

Onlinebanking: Sparkassen-App für pushTAN-Verfahren wieder gehackt

32C3

Die Banken preisen das pushTAN-Verfahren als sicher an. Dabei ist es hochgefährlich, Onlinebanking mit zwei Apps auf demselben Smartphone zu verwenden. Die Sparkasse verteidigt ihr Angebot.

Artikel veröffentlicht am ,
Die pushTAN-App der Sparkasse lässt sich einfach austricksen.
Die pushTAN-App der Sparkasse lässt sich einfach austricksen. (Bild: Vincent Haupert/Screenshot: Golem.de)

Die Sparkasse wirbt für ihr Onlinebanking mit dem push-TAN-Verfahren weiterhin auf ihrer Homepage: "Denn der entscheidende Vorteil der pushTAN ist, dass Sie keine weiteren Zusatzgeräte brauchen." Was die Sparkasse als Vorteil preist, ist nach Ansicht von Sicherheitsexperten aber der entscheidende Nachteil, mit dem sich eine angebliche Zwei-Faktor-Authentifizierung aushebeln lässt. Auf dem 32C3 erläuterte der Erlanger Student Vincent Haupert am Montag, wie er das pushTAN-System der Sparkasse hackte. Zum wiederholten Male.

Inhalt:
  1. Onlinebanking: Sparkassen-App für pushTAN-Verfahren wieder gehackt
  2. Auch nachgebesserte App lässt sich austricksen

Bereits im vergangenen Oktober hatte Haupert gezeigt, wie sich das Verfahren der Sparkasse überlisten lässt. Dieses basiert auf einer App für das eigentliche Onlinebanking sowie einer weiteren App für das TAN-Verfahren. Die Apps sind so eng verzahnt, dass sich die TAN direkt auf die Banking-App übertragen lässt. Haupert entschied sich dafür, die Transaktion zu manipulieren. Weitere Angriffsszenarien hätten beispielsweise darin bestanden, die S-pushTAN-App mitsamt ihren Daten zu klonen. Ein Reverse-Engineering der Transaktionsprotokolle sei ebenfalls möglich. Mit Hauperts Methode wird den App-Nutzern die von ihnen gewünschte Transaktion vorgegaukelt, während im Hintergrund ein anderer Betrag auf ein vom Betrüger angegebenes Konto überwiesen wird.

Root-Erkennung leicht zu umgehen

Haupert realisierte seinen Angriff als Modul für das Instrumentations-Framework Xposed. Mit einem solchen Framework können Android-Nutzer tief in das System ihrer Geräte eingreifen, ohne ein neues ROM installieren zu müssen. Es ermöglicht zudem, beliebigen Java-Code zu instrumentalisieren.

Die pushTAN-App verfügte zwar über einige Sicherheitsmerkmale des norwegischen Anbieters Promon wie Root-Erkennung, Anti-Debugging, Device-Fingerprintung und Anti-Hooking. So soll die App eigentlich beendet werden, wenn sie mit Root-Rechten betrieben wird. Das Java-Callback für die Überprüfung auf ein gerootetes Gerät konnte von den Forschern aber instrumentalisiert und abgebrochen werden. "Es hat mich gewundert, dass es so einfach war", sagte Haupert. Nachdem er zusammen mit seinem Kollegen Tilo Müller das Verfahren publik gemacht hatte, behauptete der Deutsche Sparkassen- und Giroverband (DSGV): "Die beschriebenen unter Laborbedingungen durchgeführten Manipulationen betreffen veraltete Versionsstände der S-pushTAN-App." In der neuen Version sei das Angriffsverfahren nicht mehr möglich.

Auch nachgebesserte App lässt sich austricksen 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Software-Entwickler
    Welche Programmiersprache soll ich lernen?
  2. Apple
    Käufer beklagen schwachen Empfang beim iPhone Xs und Xs Max
  3. MacOS Mojave
    Lieber warten mit dem Apple-Update
  4. Ein Netz
    Grüne wollen 5G-Versteigerung stoppen
  5. Nach Safari und Chrome
    Firefox ins Jenseits befördern
Anzeige
Hardware-Angebote
  1. ab 399€
  3. bei Alternate vorbestellen
  4. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Hacker setzen sich für geschlossene Systeme ein?
Bachsau 03. Mär 2017

Das finde ich ja mal völlig daneben. Jeder sollte das Recht haben auf dem eigenen Gerät...

Re: Android...
red creep 01. Jan 2016

Android ist ein offenes System. Deswegen kann man relativ leicht einen starken Angreifer...

Re: @Nachtrag
hawgk 31. Dez 2015

Ich finde da hat die Sparkasse einen mMn fatalen Fehler echt gut unter den Tisch gekehrt...

Re: Sucht nach /system/bin/su????
lear 30. Dez 2015

Das hat nichts mit Android, geschweige denn (intendiertem) rooten, zu tun, sondern dem...

Re: Kann man denn kein dediziertes PushTAN-Gerät...
TC 30. Dez 2015

Na diese "Verknüpfung", ab und zu muss ich sie neu verknüpfen

Folgen Sie uns
       
Nvidia Geforce RTX 2080 und 2080 Ti - Test

Nvidia hat mit der RTX 2080 und 2080 Ti die derzeit leistungsstärksten Grafikkarten am Markt. Wir haben sie getestet.

Nvidia Geforce RTX 2080 und 2080 Ti - Test Video aufrufen
Raumfahrt
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden
IMHO
Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL
Mond
SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /