Sicherheitsforscher halten photoTAN für nicht sicher

Sicherheitsforscher der Friedrich-Alexander-Universität Erlangen-Nürnberg konnten das Verfahren, das von der Deutschen Bank, der Commerzbank und der Norisbank angeboten wird, umgehen und waren in der Lage, Überweisungen auf ein beliebiges anderes Konto umzuleiten.

Gleich mehrere Manipulationsmöglichkeiten haben jetzt Vincent Haupert und Tilo Müller von der Technischen Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg in den Banking-Apps, die von der Deutschen Bank, der Commerzbank und der Norisbank angebotenen werden, entdeckt. Sie waren ihrem Forschungsbericht zufolge in der Lage, bei den Anwendungen der drei Kreditinstitute Transaktionen zu manipulieren.

Es gelang ihnen zudem für die App der Commerzbank eine sogenannte photoTAN zu replizieren und zu manipulieren. Den Forschern zufolge ist bei der comdirect-Bank zudem das Kopieren der photoTAN möglich. Damit lässt sich eine Überweisung dann zu einem späteren, vom Angreifer gewählten Zeitpunkt vornehmen. Der Kontoinhaber stellt während des Angriffs in allen Fällen keinerlei Unregelmäßigkeiten fest. Er bemerkt sie erst später beim Blick auf den Kontostand.

Beispiel für eine der beim photoTAN-Verfahren genutzen Grafiken (Bild: Cronto Ltd.)Beispiel für eine der beim photoTAN-Verfahren genutzen Grafiken (Bild: Cronto Ltd.)

Die beiden Sicherheitsforscher schildern ihre Angriffsmethode in Videos auf der Website der Universität. Ihr Ziel ist es aufzuzeigen, dass App-basierende Authentifizierungsmethoden, die zunehmend etablierte Methoden wie das chipTAN-Verfahren ersetzen sollen, nicht dasselbe Sicherheitsniveau bieten.

Grund dafür ist Haupert und Müller zufolge, dass die neuartigen Authentifizierungs-Apps auf Mehrzweckgeräten wie Smartphones und Tablets laufen und daher auch allen Gefahren ausgesetzt sind, die diese Geräte bedrohen. Das triff vor allem dann zu, wenn die Online-Banking-App und die Authentifizierungs-App auf demselben Gerät laufen.

Die bisherige Transaktionsnummer (TAN) wird mit dem photoTAN-Verfahren durch eine Grafik ersetzt. Dieses von ihrem Entwickler, der inzwischen zu Vasco gehörenden britischen Firma Cronto, als „visuelles Kryptogramm“ bezeichnete Grafik dient zur Verschlüsselung von Auftragsdaten und TAN. Die Grafik wird mit der Kamera des Smartphones eingescannt, von der Authentifizierungs-App entschlüsselt und angezeigt. Die so für Menschen lesbar gemachten Eingaben lassen sich dann überprüfen. Außerdem kann die damit gelieferte Transaktionsnummer dann eingegeben werden.

"Sicher überweisen mit photoTAN - ohne zusätzliche Tan-Liste" wirbt die Deutsche Bank auf ihrer Website (Screenshot: silicon.de)„Sicher überweisen mit photoTAN – ohne zusätzliche Tan-Liste“ wirbt die Deutsche Bank auf ihrer Website (Screenshot: silicon.de)

Beim photoTAN-Verfahren findet mit einem mobilen Endgerät der gesamte Prozess auf einem Gerät statt, während beim chipTAN-Verfahren ein zweites, spezielles Gerät erforderlich ist oder andere Banken, etwa die Postbank, die TAN auf einem zweiten Kommunikationsweg (per SMS) zusenden. Die Daten werden beim photoTAN-Verfahren lediglich von App zu App weitergereicht und sind auf diesem Weg durch Malware auf dem Gerät abfangbar respektive lässt sich die Kommunikation der Apps umleiten. Die Apps interagieren dann nicht mehr mit den Servern der Bank, sondern den Servern der Angreifer.

Auch die Norisbank stellt in ihrer Beschreibung des photoTAN-Verfahrens Sicherheit und Einfachheit in den Vordergrund (Screenshot: silicon.de)Auch die Norisbank stellt in ihrer Beschreibung des photoTAN-Verfahrens Sicherheit und Einfachheit in den Vordergrund (Screenshot: silicon.de)

„Richtig angewendet sind alle Legitimationsverfahren sicher“, haben Sprecher von Deutscher Bank und Norisbank gegenüber der Süddeutschen Zeitung erklärt. Kunden würden nach eigenen Präferenzen entscheiden, welches Verfahren ihnen zusage.

Haupert und Müller begründen dem Blatt gegenüber die Veröffentlichung ihrer Forschungsergebnisse, ohne zuvor die Betroffenen zu informieren damit, dass es sich nicht um ein technisches, sondern ein konzeptionelles Problem handle. „Die Unternehmen wissen das alles. Sie haben sich dazu entschieden, diese Option trotzdem anzubieten“, so Haupert.

Die Commerzbank bestreitet das: Sie wisse von dem Angriff nichts. Sie bietet auf ihrer Website aktuell noch eine Sicherheits-Garantie: „In unserem Online Banking bieten wir Ihnen mit dem photoTAN-Verfahren die größtmögliche Sicherheit. Das garantieren wir Ihnen. Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden“, so das Unternehmen.

[Mit Material von Peter Marwan, silicon.de]

Themenseiten: Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin ZDNet
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicherheitsforscher halten photoTAN für nicht sicher

Kommentar hinzufügen
  • Am 19. Oktober 2016 um 19:27 von Reinhard Vester

    DAs das photoTAN-Verfahren gerade bei Nutzung auf einem Smartphone nicht sicher ist, stellt ja für sich noch keine Neuigkeit dar, das es nun nochmals praktisch bewiesen wird schon.
    Wie die Banken das allerdings verkaufen ist erstaunlich. Die Deutsche Bank schafft in diesem Zusammenhang ihr WebSign-Verfahren ab (zu wenig genutzt), auch HBCI kennen die Kollegen dort offensichtlich nicht. Mein ReinertSCT-Chipkartenleser wir auf einmal überflüssig, da ich ja wie alle anderen DB-Kunden zum Online-Banking mein Smartphone benutzen will(woher wissen die das, von mir nicht). Der Trend, dass uns Kunden von offensichtlichen Ignoranten vorgeschrieben wird, was wir zu mögen und zu kaufen haben, scheint nicht nur in der Mode immer weiter fortzuschreiten. Hauptsache, die Rendite stimmt, bei Problemen hat sich der Kunde dann halt leider sicherheitstechnisch nicht korrekt verhalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *