32C3: PushTAN-App der Sparkasse erneut ausgehebelt

Auf dem 32. Chaos Communication Congress (32C3) hat Student Vincent Haupert vorgeführt, wie sich auch die jüngste Version der PushTAN-App der Sparkasse aushebeln lässt. So erfolgte die Erkennung, ob das genutzte Smartphone gerootet ist, einfach durch Suche nach der Binary von su, mit der der Nutzerkontext gewechselt werden kann. Benenne man diese Dateien um, funktioniere die App auch auf gerooteten Android-Smartphones, erläuterte Haupert in Hamburg.

Vincent Haupert kritisiert das PushTAN-Verfahren als von Grund auf anfällig (Screenshot: ZDNet.de bei Youtube).Vincent Haupert kritisiert das PushTAN-Verfahren als von Grund auf anfällig (Screenshot: ZDNet.de bei Youtube).

Haupert baute auf früheren Forschungen auf, die er zusammen mit Tilo Müller im Oktober vorgestellt hatte. Sie erforderten nicht nur ein gerootetes Smartphone, das zu dem Zeitpunkt noch nicht erkannt wurde, sondern auch das Framework Xposed, das unter Android ab 4.0.3 tiefgreifende Änderungen am Verhalten von Apps und Eingreifen in ihre Kommunikation erlaubt – in dem Fall die Übertragung zwischen den beiden Apps der Sparkasse. Haupert und Müller zeigten so, dass die Integration von Onlinebanking-App und TAN-App auf einem einzigen Smartphone ein immenses Sicherheitsrisiko darstellt.

Besonders beanstandeten sie die leicht zu umgehenden Sicherheitsmechanismen der App. Die Sparkasse besserte nach und baute die erwähnte Rootkit-Erkennung ein, die von der Firma Promon zugeliefert wird. Außerdem untersucht die App nun, ob Xposed oder ein ähnliches Framework installiert ist. Haupert umging auch diesen Mechanismus, indem er Dateien umbenannte und Xposed (das quelloffen ist) neu kompilierte, wobei er jegliche Nennung des Namens eliminierte.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Das eigentliche Problem ist Haupert zufolge die Nutzung eines einzigen Geräts für beide Komponenten einer Zwei-Faktor-Authentifizierung. Auch sei das Szenario keineswegs nur unter Laborbedingungen reproduzierbar. Das über 100.000-mal aus Google Play heruntergeladene Spiel Brain Test habe sich schließlich auch als Rootkit-Malware erwiesen, die also unter anderem das System rootete, um die Kontrolle übernehmen zu können. Im übrigen habe auch die Bankenaufsicht BaFin empfohlen (PDF) Online-Banking-App und TAN-Generator nicht auf einem einzigen Gerät zu betreiben. Haupert selbst verwendet fürs mobile Online-Banking einen TAN-Generator. Die BaFin stuft Mobile-Banking insgesamt als unsicherer ein als andere Formen des Online-Bankings. Verbraucher sollten deshalb kritisch hinterfragen, ob es wirklich notwendig ist, Finanztransaktionen per Smartphone abzuwickeln.

Natürlich seien TAN-Apps anderer Anbieter wahrscheinlich ebenso angreifbar, erklärte Haupert auch. Er habe sich die Sparkasse als Beispiel ausgesucht, weil sie so groß sei und er dort selbst ein Konto habe. Und auch der Angriff auf die Transaktion zwischen den Apps sei nur einer von mehreren möglichen: Alternativ ließe sich die PushTAN-App klonen und verändern, man könne aber auch das Kommunikationsprotokoll der beiden Apps dechiffrieren und einen eigenen Client dafür schreiben.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Kritische Sicherheitslücke in Microsoft Windows entdeckt

ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.

2 Tagen ago

Malware-Ranking: Trojaner AsyncRat in Deutschland auf dem Vormarsch

Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…

2 Tagen ago

Forscher entwickeln vernetzte Immersive-Lösungen

Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…

2 Tagen ago

Dritte Beta von Android 16 veröffentlicht

Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…

2 Tagen ago

Intel ernennt Lip-Bu Tan zum neuen CEO

Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…

3 Tagen ago

Kritische Sicherheitslücken in Adobe Acrobat und Reader

Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Betroffen sind…

3 Tagen ago