Abo
  • Services:
Anzeige
Die pushTAN-App der Sparkasse lässt sich einfach austricksen.
Die pushTAN-App der Sparkasse lässt sich einfach austricksen. (Bild: Vincent Haupert/Screenshot: Golem.de)

Onlinebanking: Sparkassen-App für pushTAN-Verfahren wieder gehackt

Die pushTAN-App der Sparkasse lässt sich einfach austricksen.
Die pushTAN-App der Sparkasse lässt sich einfach austricksen. (Bild: Vincent Haupert/Screenshot: Golem.de)

Die Banken preisen das pushTAN-Verfahren als sicher an. Dabei ist es hochgefährlich, Onlinebanking mit zwei Apps auf demselben Smartphone zu verwenden. Die Sparkasse verteidigt ihr Angebot.

Die Sparkasse wirbt für ihr Onlinebanking mit dem push-TAN-Verfahren weiterhin auf ihrer Homepage: "Denn der entscheidende Vorteil der pushTAN ist, dass Sie keine weiteren Zusatzgeräte brauchen." Was die Sparkasse als Vorteil preist, ist nach Ansicht von Sicherheitsexperten aber der entscheidende Nachteil, mit dem sich eine angebliche Zwei-Faktor-Authentifizierung aushebeln lässt. Auf dem 32C3 erläuterte der Erlanger Student Vincent Haupert am Montag, wie er das pushTAN-System der Sparkasse hackte. Zum wiederholten Male.

Anzeige

Bereits im vergangenen Oktober hatte Haupert gezeigt, wie sich das Verfahren der Sparkasse überlisten lässt. Dieses basiert auf einer App für das eigentliche Onlinebanking sowie einer weiteren App für das TAN-Verfahren. Die Apps sind so eng verzahnt, dass sich die TAN direkt auf die Banking-App übertragen lässt. Haupert entschied sich dafür, die Transaktion zu manipulieren. Weitere Angriffsszenarien hätten beispielsweise darin bestanden, die S-pushTAN-App mitsamt ihren Daten zu klonen. Ein Reverse-Engineering der Transaktionsprotokolle sei ebenfalls möglich. Mit Hauperts Methode wird den App-Nutzern die von ihnen gewünschte Transaktion vorgegaukelt, während im Hintergrund ein anderer Betrag auf ein vom Betrüger angegebenes Konto überwiesen wird.

Root-Erkennung leicht zu umgehen

Haupert realisierte seinen Angriff als Modul für das Instrumentations-Framework Xposed. Mit einem solchen Framework können Android-Nutzer tief in das System ihrer Geräte eingreifen, ohne ein neues ROM installieren zu müssen. Es ermöglicht zudem, beliebigen Java-Code zu instrumentalisieren.

Die pushTAN-App verfügte zwar über einige Sicherheitsmerkmale des norwegischen Anbieters Promon wie Root-Erkennung, Anti-Debugging, Device-Fingerprintung und Anti-Hooking. So soll die App eigentlich beendet werden, wenn sie mit Root-Rechten betrieben wird. Das Java-Callback für die Überprüfung auf ein gerootetes Gerät konnte von den Forschern aber instrumentalisiert und abgebrochen werden. "Es hat mich gewundert, dass es so einfach war", sagte Haupert. Nachdem er zusammen mit seinem Kollegen Tilo Müller das Verfahren publik gemacht hatte, behauptete der Deutsche Sparkassen- und Giroverband (DSGV): "Die beschriebenen unter Laborbedingungen durchgeführten Manipulationen betreffen veraltete Versionsstände der S-pushTAN-App." In der neuen Version sei das Angriffsverfahren nicht mehr möglich.

Auch nachgebesserte App lässt sich austricksen 

eye home zur Startseite
Bachsau 03. Mär 2017

Das finde ich ja mal völlig daneben. Jeder sollte das Recht haben auf dem eigenen Gerät...

red creep 01. Jan 2016

Android ist ein offenes System. Deswegen kann man relativ leicht einen starken Angreifer...

hawgk 31. Dez 2015

Ich finde da hat die Sparkasse einen mMn fatalen Fehler echt gut unter den Tisch gekehrt...

lear 30. Dez 2015

Das hat nichts mit Android, geschweige denn (intendiertem) rooten, zu tun, sondern dem...

TC 30. Dez 2015

Na diese "Verknüpfung", ab und zu muss ich sie neu verknüpfen



Anzeige

Stellenmarkt
  1. Daimler AG, Esslingen
  2. IKOR Management- und Systemberatung GmbH, deutschlandweit
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. DewertOkin GmbH, Hamburg


Anzeige
Hardware-Angebote
  1. 149,99€
  2. ab 179,99€

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: OpenSuSE

    DetlevCM | 22:38

  2. Re: Gesichtserkennung unsicherere Fingerabdruckleser?

    FoxCore | 22:32

  3. Re: Verkrüppelter Nautilus-Dateimanager

    Thaodan | 22:31

  4. Doch die Studie basiert auf Recherchen ...

    hjp | 22:31

  5. Re: Schade.

    Afinda | 22:30


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel