32C3: PushTAN-App der Sparkasse erneut ausgehebelt

Vincent Haupert (Screenshot: ZDNet.de bei Youtube)

Auf dem 32. Chaos Communication Congress (32C3) hat Student Vincent Haupert vorgeführt, wie sich auch die jüngste Version der PushTAN-App der Sparkasse aushebeln lässt. So erfolgte die Erkennung, ob das genutzte Smartphone gerootet ist, einfach durch Suche nach der Binary von su, mit der der Nutzerkontext gewechselt werden kann. Benenne man diese Dateien um, funktioniere die App auch auf gerooteten Android-Smartphones, erläuterte Haupert in Hamburg.

Vincent Haupert kritisiert das PushTAN-Verfahren als von Grund auf anfällig (Screenshot: ZDNet.de bei Youtube).

Haupert baute auf früheren Forschungen auf, die er zusammen mit Tilo Müller im Oktober vorgestellt hatte. Sie erforderten nicht nur ein gerootetes Smartphone, das zu dem Zeitpunkt noch nicht erkannt wurde, sondern auch das Framework Xposed, das unter Android ab 4.0.3 tiefgreifende Änderungen am Verhalten von Apps und Eingreifen in ihre Kommunikation erlaubt – in dem Fall die Übertragung zwischen den beiden Apps der Sparkasse. Haupert und Müller zeigten so, dass die Integration von Onlinebanking-App und TAN-App auf einem einzigen Smartphone ein immenses Sicherheitsrisiko darstellt.

Besonders beanstandeten sie die leicht zu umgehenden Sicherheitsmechanismen der App. Die Sparkasse besserte nach und baute die erwähnte Rootkit-Erkennung ein, die von der Firma Promon zugeliefert wird. Außerdem untersucht die App nun, ob Xposed oder ein ähnliches Framework installiert ist. Haupert umging auch diesen Mechanismus, indem er Dateien umbenannte und Xposed (das quelloffen ist) neu kompilierte, wobei er jegliche Nennung des Namens eliminierte.

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Jetzt Webinar-Aufzeichnung ansehen

Das eigentliche Problem ist Haupert zufolge die Nutzung eines einzigen Geräts für beide Komponenten einer Zwei-Faktor-Authentifizierung. Auch sei das Szenario keineswegs nur unter Laborbedingungen reproduzierbar. Das über 100.000-mal aus Google Play heruntergeladene Spiel Brain Test habe sich schließlich auch als Rootkit-Malware erwiesen, die also unter anderem das System rootete, um die Kontrolle übernehmen zu können. Im übrigen habe auch die Bankenaufsicht BaFin empfohlen (PDF) Online-Banking-App und TAN-Generator nicht auf einem einzigen Gerät zu betreiben. Haupert selbst verwendet fürs mobile Online-Banking einen TAN-Generator. Die BaFin stuft Mobile-Banking insgesamt als unsicherer ein als andere Formen des Online-Bankings. Verbraucher sollten deshalb kritisch hinterfragen, ob es wirklich notwendig ist, Finanztransaktionen per Smartphone abzuwickeln.

Natürlich seien TAN-Apps anderer Anbieter wahrscheinlich ebenso angreifbar, erklärte Haupert auch. Er habe sich die Sparkasse als Beispiel ausgesucht, weil sie so groß sei und er dort selbst ein Konto habe. Und auch der Angriff auf die Transaktion zwischen den Apps sei nur einer von mehreren möglichen: Alternativ ließe sich die PushTAN-App klonen und verändern, man könne aber auch das Kommunikationsprotokoll der beiden Apps dechiffrieren und einen eigenen Client dafür schreiben.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.