2136577

Push-TAN leichter zu hacken

Forscher kritisieren Sparkassen-App-TAN als unsicher (Update)

29.12.2015 | 13:31 Uhr |

Wer sein Online-Banking mit Push-TAN alias App-TAN erledigt, sollte die Warnung zweier Sicherheitsexperten ernst nehmen: Sie halten das Push-TAN-Verfahren der Sparkassen-App für konzeptionell schwach. Update 29.12.2015!

Update 29.12.: Neues push-TAN-Verfahren soll ebenfalls unsicher sein

Auch die neue, verbesserte Sparkasse-App 1.0.7 lässt sich hacken. Das hat der Erlanger IT-Sicherheitsexperte Vincent Haupert auf dem 32. Chaos Communication Congress (32C3) in Hamburg erklärt. Das push-TAN-Verfahren der Sparkassen muss damit nach wie vor als unsicher gelten.

Unabhängig davon, ob es den Sparkassen gelingt, die neue Sicherheitslücke zu beseitigen: Die Verwendung von zwei Apps (einer übergibt man die Überweisungsdaten und die andere Appe berechnet dann die Transaktionsnummer) auf ein- und demselben Gerät ist per se unsicher.

Tipp: Nutzen Sie für das Online-Banking zwei voneinander getrennte Geräte. Die perfekte Kombination sind ein Linux-PC und ein Billig-Handy mit einem proprietären Betriebssystem ohne Android, iOS oder Windows. Alternativ verwenden Sie das Chip-TAN-Verfahren mit einem separaten Kartenleser, der die TANs berechnet.

Ende des Updates, Beginn der ursprünglichen Meldung:

Wer seine Geldgeschäfte per Online-Banking erledigt, macht das meist in der Kombination von Desktop-PC (am besten virensicher mit Linux-Betriebssystem) und mTAN per SMS auf das Smartphone (oder besser: auf ein ganz simples altmodische Handy mit irgendeinem proprietären Betriebssystem, für das es keine Malware gibt). Oder man verwendet einen separaten TAN-Generator und erstellt damit Chip-TANs.

Als Alternative zur mTAN, also zur SMS mit der Transaktionsnummer, und zur selbst erstellen Chip-TAN bieten einige Banken wie die Sparkassen auch die Push-TAN alias App-TAN an. Dabei empfängt man die TAN für den jeweiligen Bankvorgang nicht per gewöhnlicher SMS, sondern direkt in einer speziellen App, die auf dem Smartphone installiert ist. Man kann also zum Beispiel mit einer Online-Banking-App den Überweisungsantrag auf dem Smartphone ausfüllen und dann in die Push-TAN-App (bei der man immer die Original-App seiner Bank verwenden sollte) wechseln und dort eine TAN für diese Überweisung anfordern. Der Bankserver schickt die TAN dann an die Push-TAN-App. Der gesamte Online-Bankingvorgang erfolgt also auf einem einzigen Gerät.

mTan: Betrüger griffen Online-Banking-Kunden an

Forscher der Informatik-Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg kritisieren nun aber das Push-TAN-Verfahren genau deswegen: „Während das etablierte chipTAN-Verfahren als sicher gilt, wird sein Komfort oft bemängelt. Mehrere deutsche Geldhäuser führen deshalb zur Zeit ein neues App-basiertes TAN-Verfahren ein, das mobiles Onlinebanking auf dem Smartphone ermöglicht. Unsere Mitarbeiter   Vincent Haupert und Tilo Müller konnten nun allerdings nachweisen, dass das neue Verfahren einen deutlichen Sicherheitsnachteil gegenüber den etablierten Verfahren hat. Das neue Verfahren opfert die hohen Sicherheitsstandards, wie sie z. B. bei dem chipTAN-Verfahren zu finden sind, zugunsten des Komforts. Zur Demonstration ihrer Behauptung haben Haupert und Müller einen Angriff realisiert, bei dem manipulierte Transaktionen per App bestätigt werden. Die Sicherheitsprobleme sind nicht durch verbesserte Programmierung lösbar, sondern liegen in der Struktur des Verfahrens begründet, nämlich einer konzeptionell schwachen Zwei-Faktor-Authentifikation".

Hier erklären die beiden Forscher ausführlich die Schwäche des neuen Verfahrens. Und zwar konkret am Beispiel des pushTAN-Verfahrens der Sparkassen mit deren S-Push-TAN-App auf gerooteten Android-Smartphones.

Die nach Meinung der Forscher entscheidende Schwäche des Push-TAN-Verfahrens liegt also darin, dass Angreifer nur ein einziges Gerät – in diesem Fall ein Smartphone – hacken müssen, um die volle Kontrolle über dessen Online-Banking-Geschäfte zu übernehmen.

Die Sparkassen haben ihr derart heftig kritisiertes Verfahren gegenüber heise.de verteidigt. Der von den Forschern durchgeführte Angriff sei nur mit „veralteten Versionsständen der S-pushTAN-App" möglich gewesen, so die Sparkassen. „Deshalb sind tatsächliche Schadensfälle aus heutiger Sicht unwahrscheinlich“, zitiert heise.de den Deutschen Sparkassen- und Giroverband 2013. Eine offizielle Stellungnahme der Sparkassen gibt es noch nicht.

Die Forscher haben auf dieses Update des S-Push-App 1.0.5 jedoch in ihrer Arbeit bereits hingewiesen und davor gewarnt, dass die App damit keinesfalls absolut sicher werde: „ Dennoch möchten wir darauf hinweisen und davor warnen, dass auch diese Version der S-Push-TAN-App (gemeint ist die aktuelle 1.0.5, Anmerkung der Redaktion) – und alle zukünftigen Versionen – mit entsprechendem Mehraufwand gebrochen werden kann. Stärkeren Maßnahmen zur Code-Obfuskierung kann immer durch stärkeres Reverse Engineering entgegengetreten werden, so dass lediglich der Realisierungsaufwand unseres Verfahrens steigen wird, während die konzeptionellen Schwächen des App-basierten TAN-Verfahrens nie beseitigt werden können.“  

0 Kommentare zu diesem Artikel
2136577