Willkommen
|
Facebook Twitter Google Plus
09.12.2016 - 01:37
Foto: Screenshot Commerzbank

photoTAN- Verfahren auf Android- Handys geknackt

19.10.2016, 06:07

IT- Sicherheitsforschern ist es gelungen, das beim Mobile- Banking eingesetzte photoTAN- Verfahren auf Android- Smartphones zu knacken. Nachdem die beiden Forscher der Friedrich- Alexander- Universität Erlangen- Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online- Überweisungen umleiten oder diese selbst erstellen.

Mit der photoTAN wird ein einmalig zu nutzendes Passwort erzeugt, das auf dem PC- Monitor - ähnlich einem QR- Code - als Grafik dargestellt wird, welche die Transaktionsdaten enthält. Diese wird mit dem Smartphone oder einem externen Lesegerät abgescannt. Nach der Entschlüsselung der photoTAN sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller die Geldinstitute Deutsche Bank, Norisbank und Commerzbank ins Visier genommen werden. "Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken", sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt. Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking- App und photoTAN- App auf einem Gerät installiert sind und die eigentlich vorgesehene Zwei- Wege- Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.

Foto: Commerzbank

Das Angriffsszenario habe man unter Googles Android demonstriert. Eine Attacke sei aber prinzipiell auch auf Apples iOS denkbar. Allerdings sei das Sicherheitsmodell der Apple- Software restriktiver, sodass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, sich eine Schadsoftware einzufangen.

Pressesprecher von Deutscher Bank und Norisbank wiesen darauf hin, dass man das Thema Sicherheit sehr ernst nehme: "Richtig angewendet sind alle Legitimationsverfahren sicher." Kunden entschieden nach eigenen Präferenzen, welches Verfahren ihnen zusage. Die Commerzbank gebe Kunden auf ihrer Webseite Sicherheitshinweise und erstatte im Schadensfall die vollständige Summe, hieß es in einer Antwort. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

19.10.2016, 06:07
AG/red
Kommentare  
Kommentare sortieren nach:
km_num_com
km_datum_formatiert_com
von km_nickname_text_com  
km_text_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_notify_status(Object({'object_id':km_object_id_com}))"); km_kmcom_js_end_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_delete_status(Object({'object_id':km_object_id_com, 'status':km_status_com}))"); km_kmcom_js_end_com
Antworten sortieren nach:
km_antworten_com
km_datum_formatiert_com
von km_nickname_text_com  
km_text_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_notify_status(Object({'object_id':km_object_id_com}))"); km_kmcom_js_end_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_delete_status(Object({'object_id':km_object_id_com, 'status':km_status_com}))"); km_kmcom_js_end_com
User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).
Werbung
Jetzt online spielen!
Werbung
Angaben gem ECG und MedienGesetz: Medieninhaber, Hersteller und Herausgeber bzw. Diensteanbieter
Krone Multimedia GmbH & Co KG (FBN 189730s; HG Wien) Internetdienste; Muthgasse 2, 1190 Wien
Krone Multimedia © 2016 krone.at | Impressum