Android-Smartphones Forscher knacken photoTAN-Verfahren

Unter anderem die Commerzbank setzt beim Onlinebanking das photoTAN-Verfahren ein. Wissenschaftler haben darin nun eine Schwachstelle entdeckt. Der zugehörige Angriff ist allerdings schwierig.


Zwei Sicherheitsforschern ist es laut einem Bericht der "Süddeutschen Zeitung" gelungen, das beim Onlinebanking eingesetzte Verfahren photoTAN zu knacken - unter bestimmten Voraussetzungen. Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf Android-Smartphones installiert hatten, konnten sie nach Belieben Onlineüberweisungen umleiten oder diese selbst erstellen (hier das zugehörige Forschungspapier). Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking-App und photoTAN-App auf demselben Gerät installiert waren.

Die Angriffe könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller per photoTAN abgesicherte Onlineüberweisungen von Kunden der Deutsche Bank, der Norisbank und der Commerzbank betreffen. "Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken", sagte Haupert. Solange ein Kunde seine Bankgeschäfte am Smartphone tätige, bleibe die Manipulation unerkannt.

Mit der sogenannten photoTAN wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter großes Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder einem speziellen Lesegerät gescannt. Nach der Entschlüsselung der photoTAN sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Nutzung mit Lesegerät weiter sicher

Kritisch wird es nach Erfahrung der Forscher, wenn sich die Bankinganwendung sowie die photoTAN-App auf demselben Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiter für sicher.

Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem Smartphone der Opfer bereits eine mit Viren infizierte App installiert ist. "Das macht den Angriff schwieriger, aber nicht unmöglich", sagt Haupert. Darauf deute Schadsoftware wie "Godless" und "Hummingbad" hin.

Das Angriffsszenario habe man unter dem Google-Betriebssystem Android demonstriert. Eine Attacke sei aber prinzipiell auch auf iOS denkbar, heißt es von den Forschern. Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten.

Das sagen die Banken

Auf Nachfrage weisen Pressesprecher von der Deutschen Bank und der Norisbank darauf hin, dass man das Thema Sicherheit sehr ernst nehme: "Richtig angewendet sind alle Legitimationsverfahren sicher." Kunden entscheiden nach eigenen Präferenzen, welches Verfahren ihnen zusage.

Die Commerzbank erstatte im Schadensfall die vollständige Summe, heißt es in einer weiteren Antwort. Die Bank gebe Kunden auf ihrer Webseite Sicherheitshinweise. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

mbö/dpa

Mehr zum Thema


insgesamt 5 Beiträge
Alle Kommentare öffnen
Seite 1
oemmes52 18.10.2016
1. Zur Sicherheit
sollte man immer zwei verschiedene Geräte mit unterschiedlichen Betriebssystemen verwenden. Android ist mir persönlich eh zu unsicher. Absolute Sicherheit gibt es zwar nicht, aber man sollte es den Kriminellen nicht zu leicht machen.
ali.wie.brecht 18.10.2016
2. Verstehe ich nicht
Wie kann die Kamera des Smartphones die TAN-Grafik auf dem Bildschirm des Smartphones auslesen?
Velociped 18.10.2016
3. Unsinn
"Richtig angewendet wären alle Verfahren sicher" das ist einfach nur Quatsch. Alle Verfahren sind definitiv unsicher. Gegen entsprechenden Zero-day exploits ist kein Kraut gewachsen. Die Geheimdienste verwenden diese. Die Aussage kann allenfalls sein, dass "richtig angewendet alle Verfahren praktisch nur mit einem geringen Risiko belastet sind". Aber warum zitiert Spon auch in Sicherheitsfragen einen Sprecher eines kriminellen Instituts über welchem dazu noch der Pleitegeier kreist.
rst2010 18.10.2016
4. warum nur - entgegen allen erfahrungen -
bauen banken für einen haufen geld immer neue 'sicherheits-'systeme, die bis jetzt alle geknackt wurden, anstatt die kunden an das bis jetzt nicht kompromittierte hbci/fints verfahren heranzuführen? hat die commerzbank, eine bekannte pleitebank, so viel geld übrig, für entwicklung und schadensersatz?!? denn die kosten auf die kunden abzuwälzen, wenn was passsiert, geht nicht; schließlich hat die bank das verfahren eingeführt und zwingt die kunden dazu.
felisconcolor 18.10.2016
5. Wieder
ein worst case szenario. Wobei auch ich mich frage wie soll die Verifizierung des Fotos auf dem selben Phone laufen auf die das Photo geschickt wurde. Alles sehr merkwürdig. Und solange man die Hinweise der Bank, Sparkasse einhält, Banking und Verifizierung auf zwei getrennten Geräten zu machen kann nichts passieren. Der Fehler sitzt nicht in der Verifizierung sondern IMMER vor dem Gerät. Ich mache online Banking seit es BTX gibt/gab und mir och kein Pfennig oder Cent abhanden gekommen. Die Sparkasse Hannover zumindest lässt Banking UND sms TAN auf EINEM Gerät übrigens nicht zu. Aus welchem Grund wohl.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.