Bericht: Forscher stufen zahlreiche mobile Banking-Apps als unsicher ein

Forscher der Friedrich-Alexander Universität Erlangen-Nürnberg warnen vor einer Schwachstelle, die in Deutschland verbreitete mobile Banking-Apps angreifbar macht. Betroffen sind einem Bericht der Süddeutschen Zeitung zufolge 31 Anwendungen, unter anderem von Commerzbank, Stadtsparkassen, Comdirect und Fidor Bank. Der Fehler steckt allerdings nicht direkt in den Apps – die Verantwortung liegt bei einem externen Dienstleister, der eigentlich für die Absicherung der Apps zuständig war.

Von Vincent Haupert und Nicolas Schneider entwickelter Beispielscode erlaubt es demnach, die Kontrolle über eine Banking-App eines Opfers zu übernehmen und Geld auf ein beliebiges Konto zu überweisen. Eine Besonderheit ihres Angriffs ist, dass das Konto des Empfängers in der Banking-App des Opfers nicht auftaucht. Stattdessen wird dort weiterhin die ursprüngliche IBAN-Nummer angezeigt, die das Opfer eingegeben hat, während die Zahlung mit der IBAN-Nummer ausgeführt wird, die die Angreifer festgelegt haben.

Die Sicherheitslücke soll es Unbefugten aber auch erlauben, die fragliche Banking-App jederzeit auszuführen oder zu kopieren und Zahlungsdaten zu verändern. Auch das TAN-Verfahren wird durch die Sicherheitslücke kompromittiert, da es möglich ist, die Transaktionsnummer an ein beliebiges Gerät zu schicken – also auch an ein Gerät, das unter der Kontrolle eines Angreifers steht.

Der Angriff funktioniert aber nur mit einer Einschränkung: Banking-App und Tan-App müssen auf demselben Smartphone ausgeführt werden. Die ebenfalls betroffenen Volksbanken-Raiffeisenbanken erklärten in dem Zusammenhang, ihre Banking-App sei „bereits millionenfach heruntergeladen“ worden, nur sehr wenige Nutzer setzten aber auch das mobile TAN-Verfahren ein. Genau davon raten die Forscher nun ab. „Wir wollen zeigen, dass es unzureichend ist, sich für Online-Banking ausschließlich auf das Smartphone zu verlassen“, sagte Haupert.

Alle betroffenen Apps greifen dem Bericht zufolge auf den IT-Dienstleister Promon zurück. Dessen Technikchef habe die Erkenntnisse der Forscher bestätigt. Er betonte in einem Telefoninterview mit der Süddeutschen Zeitung jedoch, dass es bisher keinem Kriminellen gelungen sei, „unsere Sicherheitslösung zu umgehen“. Promon schütze 100 Millionen Nutzer weltweit. Man stehe mit den Forschern in Kontakt, um die Sicherheitslücke zu schließen.

Eigentlich soll Promon Banking-Apps vor Schadsoftware auf einem mobilen Gerät schützen. Zu diesem Zweck tauschen sie ständig Informationen mit Promon aus. Reißt diese Verbindung ab, weil die Schutzfunktionen von Promon entfernt werden, funktioniert die App nicht mehr. Bei der Analyse dieser Informationen stießen die Forscher offenbar auf eine Schwachstelle, mit deren Hilfe sich alle Sicherheitsmaßnahmen abschalten lassen. Den dafür benötigten Angriff bezeichneten die Forscher als „sehr komplex“. Selbst versierte Hacker sollen mehrere Monate benötigen, um alle Details trotz einer vorliegenden Anleitung nachstellen zu können. Den Beispielcode halten die Forscher weiter unter Verschluss. Zusätzliche Details wollen sie jedoch zum Jahresende auf der Konferenz des Chaos Computer Club präsentieren.

Den Banken soll das Risiko indes bekannt sein. Sie betonten auf Nachfrage der Zeitung, dass sie die IT-Sicherheit ihrer Kunden sehr ernst nähmen. Da in der „Praxis ein massentauglicher Angriff deutlich schwieriger“ sei, hielten sie unter Abwägung von Risiko und Kundennutzen daran fest, Banking und TAN-Vergabe auf einem Gerät zu erlauben. Nutzer von mobilem Online-Banking sollten trotzdem darauf achten, TANs nicht auf dem Gerät zu generieren, auf dem auch die Online-Banking-App läuft.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago