Forscher der Friedrich-Alexander Universität Erlangen-Nürnberg warnen vor einer Schwachstelle, die in Deutschland verbreitete mobile Banking-Apps angreifbar macht. Betroffen sind einem Bericht der Süddeutschen Zeitung zufolge 31 Anwendungen, unter anderem von Commerzbank, Stadtsparkassen, Comdirect und Fidor Bank. Der Fehler steckt allerdings nicht direkt in den Apps – die Verantwortung liegt bei einem externen Dienstleister, der eigentlich für die Absicherung der Apps zuständig war.
Die Sicherheitslücke soll es Unbefugten aber auch erlauben, die fragliche Banking-App jederzeit auszuführen oder zu kopieren und Zahlungsdaten zu verändern. Auch das TAN-Verfahren wird durch die Sicherheitslücke kompromittiert, da es möglich ist, die Transaktionsnummer an ein beliebiges Gerät zu schicken – also auch an ein Gerät, das unter der Kontrolle eines Angreifers steht.
Der Angriff funktioniert aber nur mit einer Einschränkung: Banking-App und Tan-App müssen auf demselben Smartphone ausgeführt werden. Die ebenfalls betroffenen Volksbanken-Raiffeisenbanken erklärten in dem Zusammenhang, ihre Banking-App sei „bereits millionenfach heruntergeladen“ worden, nur sehr wenige Nutzer setzten aber auch das mobile TAN-Verfahren ein. Genau davon raten die Forscher nun ab. „Wir wollen zeigen, dass es unzureichend ist, sich für Online-Banking ausschließlich auf das Smartphone zu verlassen“, sagte Haupert.
Alle betroffenen Apps greifen dem Bericht zufolge auf den IT-Dienstleister Promon zurück. Dessen Technikchef habe die Erkenntnisse der Forscher bestätigt. Er betonte in einem Telefoninterview mit der Süddeutschen Zeitung jedoch, dass es bisher keinem Kriminellen gelungen sei, „unsere Sicherheitslösung zu umgehen“. Promon schütze 100 Millionen Nutzer weltweit. Man stehe mit den Forschern in Kontakt, um die Sicherheitslücke zu schließen.
Eigentlich soll Promon Banking-Apps vor Schadsoftware auf einem mobilen Gerät schützen. Zu diesem Zweck tauschen sie ständig Informationen mit Promon aus. Reißt diese Verbindung ab, weil die Schutzfunktionen von Promon entfernt werden, funktioniert die App nicht mehr. Bei der Analyse dieser Informationen stießen die Forscher offenbar auf eine Schwachstelle, mit deren Hilfe sich alle Sicherheitsmaßnahmen abschalten lassen. Den dafür benötigten Angriff bezeichneten die Forscher als „sehr komplex“. Selbst versierte Hacker sollen mehrere Monate benötigen, um alle Details trotz einer vorliegenden Anleitung nachstellen zu können. Den Beispielcode halten die Forscher weiter unter Verschluss. Zusätzliche Details wollen sie jedoch zum Jahresende auf der Konferenz des Chaos Computer Club präsentieren.
Den Banken soll das Risiko indes bekannt sein. Sie betonten auf Nachfrage der Zeitung, dass sie die IT-Sicherheit ihrer Kunden sehr ernst nähmen. Da in der „Praxis ein massentauglicher Angriff deutlich schwieriger“ sei, hielten sie unter Abwägung von Risiko und Kundennutzen daran fest, Banking und TAN-Vergabe auf einem Gerät zu erlauben. Nutzer von mobilem Online-Banking sollten trotzdem darauf achten, TANs nicht auf dem Gerät zu generieren, auf dem auch die Online-Banking-App läuft.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…