Im Video: Die (Un)Sicherheit von App-basierten TAN-Verfahren
Nachdem wir euch bereits im Vorfeld des gestrigen 32c3-Vortrages auf die Analyse-Arbeiten des Wissenschaftlers Vincent Haupert aufmerksam gemacht haben, steht der Video-Mitschnitt des 30-Minuten-Vortrages unter der Überschrift „(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking“ jetzt zum Download im Medien-Archiv des CCC bereit.
Im Rahmen seiner akademischen Laufbahn hat sich Haupert den App-basierte TAN-Verfahren hiesiger Kreditinstitute gewidmet und zeigt am Beispiel der von Starfinanz verantworteten Sparkassen-App den Angriff auf die mobilen Tan-Transaktionen auf der Android-Plattform.
Haupert erklärt die Hintergründe der manipulierten Überweisung, kritisiert den unzureichenden Schutz der oft von Drittanbietern eingekauften Tan-Applikationen und kreidet der Sparkasse Aktionismus an: Zwar habe die Bank auf seine Veröffentlichung mit einem schnellen Update reagiert, sich jedoch nur um die Behebung der während der initialen Analyse gefundenen Probleme gekümmert und das Sicherheitskonzept nicht grundlegend überdacht. Die Folge: Während des gestern Abend live übertragenen Talks konnte Haupert auch die aktuelle Version der TAN-App manipulieren.
Neue App-basierte TAN-Verfahren sollen die etablierten Verfahren ablösen und Onlinebanking komfortabler machen. Die Notwendigkeit von dedizierter Hardware entfällt und Transaktionen können mit nur einem mobilen Endgerät durchgeführt werden. Was von den Kreditinstituten als Feature beworben wird, erweist sich in unserer Untersuchung als fatal. In einem Proof-of-Concept-Angriff demonstrieren wir die Manipulation von Transaktionsdaten und zeigen die konzeptionelle Schwäche von App-basierten TAN-Verfahren.