Bericht: Forscher stufen zahlreiche mobile Banking-Apps als unsicher ein

Forscher der Friedrich-Alexander Universität Erlangen-Nürnberg warnen vor einer Schwachstelle, die in Deutschland verbreitete mobile Banking-Apps angreifbar macht. Betroffen sind einem Bericht der Süddeutschen Zeitung zufolge 31 Anwendungen, unter anderem von Commerzbank, Stadtsparkassen, Comdirect und Fidor Bank. Der Fehler steckt allerdings nicht direkt in den Apps – die Verantwortung liegt bei einem externen Dienstleister, der eigentlich für die Absicherung der Apps zuständig war.

Von Vincent Haupert und Nicolas Schneider entwickelter Beispielscode erlaubt es demnach, die Kontrolle über eine Banking-App eines Opfers zu übernehmen und Geld auf ein beliebiges Konto zu überweisen. Eine Besonderheit ihres Angriffs ist, dass das Konto des Empfängers in der Banking-App des Opfers nicht auftaucht. Stattdessen wird dort weiterhin die ursprüngliche IBAN-Nummer angezeigt, die das Opfer eingegeben hat, während die Zahlung mit der IBAN-Nummer ausgeführt wird, die die Angreifer festgelegt haben.

Die Sicherheitslücke soll es Unbefugten aber auch erlauben, die fragliche Banking-App jederzeit auszuführen oder zu kopieren und Zahlungsdaten zu verändern. Auch das TAN-Verfahren wird durch die Sicherheitslücke kompromittiert, da es möglich ist, die Transaktionsnummer an ein beliebiges Gerät zu schicken – also auch an ein Gerät, das unter der Kontrolle eines Angreifers steht.

Der Angriff funktioniert aber nur mit einer Einschränkung: Banking-App und Tan-App müssen auf demselben Smartphone ausgeführt werden. Die ebenfalls betroffenen Volksbanken-Raiffeisenbanken erklärten in dem Zusammenhang, ihre Banking-App sei „bereits millionenfach heruntergeladen“ worden, nur sehr wenige Nutzer setzten aber auch das mobile TAN-Verfahren ein. Genau davon raten die Forscher nun ab. „Wir wollen zeigen, dass es unzureichend ist, sich für Online-Banking ausschließlich auf das Smartphone zu verlassen“, sagte Haupert.

Alle betroffenen Apps greifen dem Bericht zufolge auf den IT-Dienstleister Promon zurück. Dessen Technikchef habe die Erkenntnisse der Forscher bestätigt. Er betonte in einem Telefoninterview mit der Süddeutschen Zeitung jedoch, dass es bisher keinem Kriminellen gelungen sei, „unsere Sicherheitslösung zu umgehen“. Promon schütze 100 Millionen Nutzer weltweit. Man stehe mit den Forschern in Kontakt, um die Sicherheitslücke zu schließen.

Eigentlich soll Promon Banking-Apps vor Schadsoftware auf einem mobilen Gerät schützen. Zu diesem Zweck tauschen sie ständig Informationen mit Promon aus. Reißt diese Verbindung ab, weil die Schutzfunktionen von Promon entfernt werden, funktioniert die App nicht mehr. Bei der Analyse dieser Informationen stießen die Forscher offenbar auf eine Schwachstelle, mit deren Hilfe sich alle Sicherheitsmaßnahmen abschalten lassen. Den dafür benötigten Angriff bezeichneten die Forscher als „sehr komplex“. Selbst versierte Hacker sollen mehrere Monate benötigen, um alle Details trotz einer vorliegenden Anleitung nachstellen zu können. Den Beispielcode halten die Forscher weiter unter Verschluss. Zusätzliche Details wollen sie jedoch zum Jahresende auf der Konferenz des Chaos Computer Club präsentieren.

Den Banken soll das Risiko indes bekannt sein. Sie betonten auf Nachfrage der Zeitung, dass sie die IT-Sicherheit ihrer Kunden sehr ernst nähmen. Da in der „Praxis ein massentauglicher Angriff deutlich schwieriger“ sei, hielten sie unter Abwägung von Risiko und Kundennutzen daran fest, Banking und TAN-Vergabe auf einem Gerät zu erlauben. Nutzer von mobilem Online-Banking sollten trotzdem darauf achten, TANs nicht auf dem Gerät zu generieren, auf dem auch die Online-Banking-App läuft.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

18 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

22 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

22 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

23 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

23 Stunden ago