Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Online-Banking mit pushTAN Sparkassen-App schon wieder gehackt

Die Banken preisen das pushTAN-Verfahren als sicher an. Dabei ist es hochgefährlich, Onlinebanking mit zwei Apps auf demselben Smartphone zu verwenden. Ein Hacker hebelte das System nun zum wiederholten Mal aus.
29.12.2015 - 11:08 Uhr 3 Kommentare
Onlinebanking wird mobil immer beliebter, TAN-Verfahren sollen dabei schützen. Ein Student hat auf dem Hacker-Kongress 32C3 nun gezeigt, wie manipulierbar die sind. Quelle: dpa
Sparkassen-App

Onlinebanking wird mobil immer beliebter, TAN-Verfahren sollen dabei schützen. Ein Student hat auf dem Hacker-Kongress 32C3 nun gezeigt, wie manipulierbar die sind.

(Foto: dpa)

Hamburg Die Sparkasse wirbt für ihr Onlinebanking mit dem push-TAN-Verfahren auf ihrer Homepage: „Denn der entscheidende Vorteil der pushTAN ist, dass Sie keine weiteren Zusatzgeräte brauchen.“ Was die Sparkasse als Vorteil preist, ist nach Ansicht von Sicherheitsexperten aber der entscheidende Nachteil, mit dem sich eine angebliche Zwei-Faktor-Authentifizierung aushebeln lässt. Auf dem aktuellen 32C3-Kongress des Hamburger Chaos Computer Club (CCC) erläuterte der Erlanger Student Vincent Haupert am Montag, wie er das pushTAN-System der Sparkasse hackte. Zum wiederholten Male.

Bereits im vergangenen Oktober hatte Haupert gezeigt, wie sich das Verfahren der Sparkasse überlisten lässt. Dieses basiert auf einer App für das eigentliche Onlinebanking sowie einer weiteren App für das TAN-Verfahren. Die Apps sind so eng verzahnt, dass sich die TAN direkt auf die Banking-App übertragen lässt. Haupert entschied sich dafür, die Transaktion zu manipulieren.

Weitere Angriffsszenarien hätten beispielsweise darin bestanden, die S-pushTAN-App mitsamt ihren Daten zu klonen. Ein Reverse-Engineering der Transaktionsprotokolle sei ebenfalls möglich. Mit Hauperts Methode wird den App-Nutzern die von ihnen gewünschte Transaktion vorgegaukelt, während im Hintergrund ein anderer Betrag auf ein vom Betrüger angegebenes Konto überwiesen wird.

Root-Erkennung leicht zu umgehen

Haupert realisierte seinen Angriff als Modul für das Instrumentations-Framework Xposed. Mit einem solchen Framework können Android-Nutzer tief in das System ihrer Geräte eingreifen, ohne ein neues ROM installieren zu müssen. Es ermöglicht zudem, beliebigen Java-Code zu instrumentalisieren.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Die pushTAN-App verfügte zwar über einige Sicherheitsmerkmale des norwegischen Anbieters Promon wie Root-Erkennung, Anti-Debugging, Device-Fingerprintung und Anti-Hooking. So soll die App eigentlich beendet werden, wenn sie mit Root-Rechten betrieben wird. Das Java-Callback für die Überprüfung auf ein gerootetes Gerät konnte von den Forschern aber instrumentalisiert und abgebrochen werden. "Es hat mich gewundert, dass es so einfach war", sagte Haupert.

    Nachdem er zusammen mit seinem Kollegen Tilo Müller das Verfahren publik gemacht hatte, behauptete der Deutsche Sparkassen- und Giroverband (DSGV): "Die beschriebenen unter Laborbedingungen durchgeführten Manipulationen betreffen veraltete Versionsstände der S-pushTAN-App." In der neuen Version sei das Angriffsverfahren nicht mehr möglich.

    Auch nachgebesserte App lässt sich austricksen
    Seite 12Alles auf einer Seite anzeigen
    Mehr zu: Online-Banking mit pushTAN - Sparkassen-App schon wieder gehackt
    3 Kommentare zu "Online-Banking mit pushTAN: Sparkassen-App schon wieder gehackt"

    Das Kommentieren dieses Artikels wurde deaktiviert.

    • Ach...hatte ich ganz vergessen...Herr Haupert nutzt das ChipTAN-Verfahren. Dieses ist noch leichter zu knacken als die Push-TAN-App auf dem gerooteten Smartphone!

    • Jedem sollte natürlich auch klar sein, dass er keine sensiblen Daten und Apps (Sparkassen-App oder PushTAN-App) auf ein gerootetes Smartphone unterhält. Ich halte doch meine Katze und die Kanarienvögel auch nicht in einem Käfig!
      Hat es das HB endlich wieder geschafft, gegen die Sparkassen zu wettern und ist mal wieder einem einzelnen Berichterstatter und selbsternannten Tester auf den Leim gegangen. Hat der feine Herr Haupert denn mal das sogenannte SMS-TAN-Verfahren diverser anderer Anbieter getestet? Huch, hier gibt es null Sicherheit, denn eine SMS wird über einen unverschlüsselten und ungesicherten Kanal geliefert - per Funk! Und die feine Deutsche Bank, die ihren Kunden immer noch TAN-Listen anbietet.
      Die Sparkasse ist, was Sicherheit angeht immer noch Platz 1. Und klar, jede App und jedes Sicherheitsmedium kann auf kurz oder lang gecracked werden. Einfacher geht es mit dem "Modul für das Instrumentations-Framework Xposed". Wer gern sein Konto von Dritten manipulieren lassen möchte, soll von mir aus Sicherheit gegen Idiotismus tauschen.
      Viel Spaß beim Ausprobieren

    • Traurig aber wahr. Es verhält sich hier genauso wie beim Wettrüsten zwischen Alarmanlage und Dieb. Es wird NIE sicher.

    Serviceangebote
    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%