News

Archiv

PhotoTAN-App einiger Cash Group Banken unsicher

Den IT-Sicherheitsforschern Vincent Haupert und Tilo Müller von der Friedrich-Alexander-Universität in Erlangen-Nürnberg ist es gelungen, durch Manipulation Überweisungen von Konten der Commerz-, Noris- und Deutschen Bank auf fremde Konten durchzuführen – das ging nur dank der angeblich sicheren PhotoTAN-App die diese Institute für Smartphones anbieten..

DAS SICHERHEITSVERSPRECHEN

Die Banken selber werben für ihre App mit dem Slogan „Schnell, einfach und sicher“. Während sich die ersten beiden Punkte nicht bestreiten lassen, hat sich der dritte nun als falsch entpuppt. Neben der Banking-App der Bank ihres Vertrauens benötigen Sie für das schnelle PhotoTAN Überweisungsverfahren noch die eigentliche PhotoTAN-App. In der Banking-App werden die eigentlichen Daten für die Überweisung eingegeben, aus denen dann eine TAN-Grafik auf der zweiten App per PhotoTAN Verfahren errechnet wird. Die Grafik ergibt für das bloße Auge keinen Sinn und scheint sicher.

SÄMTLICHE ANGRIFFE ERFOLGREICH

Wie die beiden Wissenschaftler das System überwinden konnten um gezielt Überweisungen umzulenken – und das, ohne dass es der Geschädigte bemerkt – schildern sie ausführlich in ihrem Forschungsbericht. Das eigentliche Problem an der Sache ist, dass die beiden Apps sich auf dem selben Endgerät befinden. „Das Photo-Tan-Verfahren verliert das Foto im Namen, da schließlich nichts mehr fotografiert wird“, so Haupert. Bei der Weitergabe der Daten zwischen den beiden Apps haben Hacker ungeschützten Zugriff: „Wir können alles manipulieren. Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken“. Aber ganz ohne ein Hackertool läuft es trotzdem nicht. Auf dem Smartphone der Betroffenen muss zusätzlich eine mit Viren infizierte App installiert sein.

STATEMENT DER DEUTSCHEN BANK

Ein Sprecher der Deutschen Bank beschwichtigt: „Richtig angewendet sind alle Legitimationsverfahren sicher.“ Tatsächlich ist das Verfahren nicht zu kompromittieren, wenn die Überweisung über einen Web-Browser auf einem separaten Gerät durchgeführt wird, da die manipulierte TAN dann auffliegen würde. Auch die Commerzbank zeigt sich sicher – dort würde man im Schadensfall die komplette Summe erstatten. Die beiden Wissenschaftler empfehlen dennoch ein separates PhotoTAN Gerät statt dem Smartphone zu verwenden: „Eine spezielles PhotoTAN Gerät — wie es von allen untersuchten Banken angeboten wird — bietet exzellente Sicherheit die der eines ChipTAN-Verfahrens in nichts nachsteht.“

Vorheriger Beitrag
EuGH-Urteil – Webseitenbetreiber dürfen Besucher-IPs speichern
Nächster Beitrag
Kein Interessenkonflikt beim Datenschutzbeauftragten!