Categories: Sicherheit

34C3: Sicherheitsforscher Haupert enthüllt Mobile-Banking-Hack

Auf dem 34. Chaos Communication Congress (34C3) in Leipzig hat der Erlanger Sicherheitsforscher und Doktorand Vincent Haupert demonstriert, wie sich die Sicherheitsvorkehrungen verbreiteter Banking-Apps aushebeln lassen. Er warf den Banken vor, mit zunehmendem Verzicht auf Zwei-Faktor-Authentifizierung die Sicherheit ihrer Nutzer zu vernachlässigen.

Haupert macht schon seit Jahren immer wieder auf kritische Sicherheitslücken in Banking-Apps aufmerksam. Mit seinem Vortrag „Die fabelhafte Welt des Mobilebankings“ wollte er jetzt aufzeigen, dass zusätzliche Sicherungs- und Härtungsmaßnahmen keinen ausreichenden Schutz bieten, wenn Onlinebanking mit nur einer App genutzt wird. Sicherer sei grundsätzlich die unabhängige Zwei-Faktor-Authentifizierung, bei der zwei getrennte Endgeräte wie PC und Smartphone zum Einsatz kommen, also Banking- und TAN-App auf verschiedenen Geräten ausgeführt werden.

Führende deutsche Finanzinstitute aber wollen es ihren Kunden besonders einfach machen und setzen deshalb stattdessen darauf, ihre Smartphone-Apps mit der Sicherheitslösung eines externen Anbieters zu härten. Sparkassen, Raiffeisenbanken sowie Privatbanken verwenden deshalb häufig Promon Shield des norwegischen IT-Dienstleisters Promon. Diese Lösung soll Banking-Apps vor Schadsoftware auf einem mobilen Gerät schützen. Zu diesem Zweck tauschen sie ständig Informationen mit Promon aus. Reißt diese Verbindung ab, weil die Schutzfunktionen von Promon entfernt werden, sollte die App nicht mehr funktionieren.

Genau in dieser Sicherheitslösung aber fanden die Sicherheitsforscher Vincent Haupert und Nicolas Schneider von der Friedrich-Alexander-Universität Erlangen-Nürnberg schwere Sicherheitslücken. Diese ermöglichten ihnen, die Schutzmechanismen von Promon auszuhebeln. Ein von ihnen entwickelter Beispielscode erlaubte es, die Kontrolle über eine Banking-App eines Opfers zu übernehmen und Geld auf ein beliebiges Konto zu überweisen. Das machten sie schon im November öffentlich, hielten sich aber noch mit Details zum Angriff zurück.

Beim Hackerkongress 34C3 in Leipzig enthüllten sie jetzt mehr. Sie wollten damit insbesondere belegen, dass solche Angriffe eben nicht nur unter Laborbedingungen und dazu mit wiederkehrend hohem Aufwand erfolgen können. „Um diese Sichtweise zu korrigieren, haben wir das Programm Nomorp entwickelt, das in der Lage ist, zentrale Sicherungs- und Härtungsmaßnahmen in weltweit 31 Apps vollautomatisch zu deaktivieren, und somit Schadsoftware Tür und Tor öffnet“, argumentierten sie. Haupert konzentrierte sich beim Vortrag auf Android, betonte aber, dass entscheidende Teile des Angriffs auf iOS-Apps übertragbar seien.

Nicht zufällig ist Nomorp die umgekehrte Schreibweise von Promon, soll es doch die Schutzmechanismen dieser externen Sicherheitslösung aushebeln. Das Tool analysiert zunächst Promons Konfiguration, liest das Client-Zertifikat aus und kommt schließlich an eine ungeschützte Banking-App. Der gesamte Vorgang nimmt laut Haupert nicht mehr als zehn Minuten in Anspruch, ist also bei einer aktualisierten App leicht zu wiederholen. „Da schreiben wir überall Nullen rein“, sagte er und demonstrierte die Manipulation einer Konfigurationsdatei, um die Schutzmaßnahmen unwirksam zu machen.

Dem norwegischen Hersteller Promon attestierte der Sicherheitsforscher eine professionelle Reaktion. Dieser habe auf die gemeldeten Schwachstellen reagiert und setze inzwischen eine überarbeitete Version seiner Sicherheitslösung ein. Nach Hauperts Einschätzung bleibt es aber beim konzeptionellen Sicherheitsdefizit des mobilen Bankings, wie er im Gespräch mit Netzpolitik.org ausführlich begründete.

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

8 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

8 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago