Categories: Sicherheit

Bericht: Forscher stufen zahlreiche mobile Banking-Apps als unsicher ein

Forscher der Friedrich-Alexander Universität Erlangen-Nürnberg warnen vor einer Schwachstelle, die in Deutschland verbreitete mobile Banking-Apps angreifbar macht. Betroffen sind einem Bericht der Süddeutschen Zeitung zufolge 31 Anwendungen, unter anderem von Commerzbank, Stadtsparkassen, Comdirect und Fidor Bank. Der Fehler steckt allerdings nicht direkt in den Apps – die Verantwortung liegt bei einem externen Dienstleister, der eigentlich für die Absicherung der Apps zuständig war.

Von Vincent Haupert und Nicolas Schneider entwickelter Beispielscode erlaubt es demnach, die Kontrolle über eine Banking-App eines Opfers zu übernehmen und Geld auf ein beliebiges Konto zu überweisen. Eine Besonderheit ihres Angriffs ist, dass das Konto des Empfängers in der Banking-App des Opfers nicht auftaucht. Stattdessen wird dort weiterhin die ursprüngliche IBAN-Nummer angezeigt, die das Opfer eingegeben hat, während die Zahlung mit der IBAN-Nummer ausgeführt wird, die die Angreifer festgelegt haben.

Die Sicherheitslücke soll es Unbefugten aber auch erlauben, die fragliche Banking-App jederzeit auszuführen oder zu kopieren und Zahlungsdaten zu verändern. Auch das TAN-Verfahren wird durch die Sicherheitslücke kompromittiert, da es möglich ist, die Transaktionsnummer an ein beliebiges Gerät zu schicken – also auch an ein Gerät, das unter der Kontrolle eines Angreifers steht.

Der Angriff funktioniert aber nur mit einer Einschränkung: Banking-App und Tan-App müssen auf demselben Smartphone ausgeführt werden. Die ebenfalls betroffenen Volksbanken-Raiffeisenbanken erklärten in dem Zusammenhang, ihre Banking-App sei “bereits millionenfach heruntergeladen” worden, nur sehr wenige Nutzer setzten aber auch das mobile TAN-Verfahren ein. Genau davon raten die Forscher nun ab. “Wir wollen zeigen, dass es unzureichend ist, sich für Online-Banking ausschließlich auf das Smartphone zu verlassen”, sagte Haupert.

Alle betroffenen Apps greifen dem Bericht zufolge auf den IT-Dienstleister Promon zurück. Dessen Technikchef habe die Erkenntnisse der Forscher bestätigt. Er betonte in einem Telefoninterview mit der Süddeutschen Zeitung jedoch, dass es bisher keinem Kriminellen gelungen sei, “unsere Sicherheitslösung zu umgehen”. Promon schütze 100 Millionen Nutzer weltweit. Man stehe mit den Forschern in Kontakt, um die Sicherheitslücke zu schließen.

Eigentlich soll Promon Banking-Apps vor Schadsoftware auf einem mobilen Gerät schützen. Zu diesem Zweck tauschen sie ständig Informationen mit Promon aus. Reißt diese Verbindung ab, weil die Schutzfunktionen von Promon entfernt werden, funktioniert die App nicht mehr. Bei der Analyse dieser Informationen stießen die Forscher offenbar auf eine Schwachstelle, mit deren Hilfe sich alle Sicherheitsmaßnahmen abschalten lassen. Den dafür benötigten Angriff bezeichneten die Forscher als “sehr komplex”. Selbst versierte Hacker sollen mehrere Monate benötigen, um alle Details trotz einer vorliegenden Anleitung nachstellen zu können. Den Beispielcode halten die Forscher weiter unter Verschluss. Zusätzliche Details wollen sie jedoch zum Jahresende auf der Konferenz des Chaos Computer Club präsentieren.

Den Banken soll das Risiko indes bekannt sein. Sie betonten auf Nachfrage der Zeitung, dass sie die IT-Sicherheit ihrer Kunden sehr ernst nähmen. Da in der “Praxis ein massentauglicher Angriff deutlich schwieriger” sei, hielten sie unter Abwägung von Risiko und Kundennutzen daran fest, Banking und TAN-Vergabe auf einem Gerät zu erlauben. Nutzer von mobilem Online-Banking sollten trotzdem darauf achten, TANs nicht auf dem Gerät zu generieren, auf dem auch die Online-Banking-App läuft.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

12 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

13 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago