Uni Erlangen
photoTAN-Apps kompromittiert: Videos zeigen Angriff in Aktion
Informatikern der Friedrich-Alexander-Universität in Erlangen ist ein Angriff auf die Photo-Tan-Apps mehrerer Deutscher Banken geglückt. Darüber informiert die Forschungsgruppe um Dr. Tilo Müller jetzt unter der Überschrift „On App-based Matrix Code Authentication in Online Banking“.
Neben dem Paper (PDF-Download) zur Attacke auf die neuen TAN-Systeme, die unter anderem von der Deutsche Bank, der Commerzbank, der Comdirect und der Norisbank eingesetzt werden, haben die IT-Experten auch zwei Videos veröffentlicht, die die Auswirkungen der gefundenen Schwachstelle dokumentieren.
So ist es den Forschern (unter Laborbedingungen) gelungen, aktuelle Überweisungen auf fremde Konten umzuleiten und bereits ausgegebene Foto-TANs für Überweisungen an späteren Zeitpunkten einzusetzen.
Auf ihrer Sonderseite zum Thema erklären die Forscher:
Seit seiner Einführung setzt das deutsche Online-Banking auf Zwei-Faktor-Authentifizierungsverfahren, die kontinuierlich um zusätzliche Sicherheitsmerkmale ergänzt wurden. In jüngster Vergangenheit wurden jedoch App-basierte Authentifizierungsverfahren populär und begannen, etablierte Systeme wie chipTAN zu ersetzen.
Im Gegensatz zu chipTAN, das dedizierte Hardware zur sicheren Legitimierung von Transaktionen verwendet, laufen Authentifizierungs-Apps auf Multifunktionsgeräten wie Smartphones und Tablets und sind somit der Bedrohung durch Malware ausgesetzt. Diese Sicherheitsanfälligkeit tritt insbesondere dann in Kraft, wenn die Online-Banking-App und die Authentifizierungsanwendung beide auf demselben Gerät laufen, das auch als mobiles Banking bezeichnet wird. […]
Auf Nachfrage der Süddeutschen haben sich die ersten Banken inzwischen zwar geäußert, die neuen Erkenntnisse jedoch nicht direkt adressiert: „Richtig angewendet sind alle Legitimationsverfahren sicher.“ Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.