Mobile Banking. Die pushTAN-App der Sparkassen gehackt

Um mit dem Smartphone unterwegs Bankgeschäfte abwickeln zu können, entwickeln Banken Apps. Damit können Kunden beispielsweise vom mobilen Gerät aus Überweisungen tätigen. Auf dem 32. Chaos Communication Congress (32C3) in Hamburg hat nun Vincent Haupert, Universität Erlangen, demonstriert wie das Mobile-Banking-Verfahren der Sparlassen ausgetrickst werden kann.

Dazu müssen die Schutzmechanismen der pushTAN-App deaktiviert werden. Dannach muss nur Summe und Empfänger einer Überweisung auf dem Smartphone des Opfers verändert werden, zeigt diesem aber vor der TAN-Eingabe wieder die ursprünglichen Daten. Der Angriff auf einem fremden Gerät geschieht über eine manipulierte App, die das Opfer guten Glaubens installiert hat.

Der Forscher hält dennoch Überweisungen von einem mobilen Gerät nicht im Allgemeinen für unsicher. Er rät aber: „die TAN auf einem separaten Gerät zu erstellen, im besten Fall auf einem sogenannten TAN-Calculator, in den man seine EC-Karte stecken muss, bevor er eine TAN generiert. ChipTAN- oder SmartTAN-Verfahren werden diese Prozesse genannt. Verfahren wie iTAN und mTAN müssen hingegen als unsicher gelten“, so Patrick Beuth, zeitonline.

Quelle:
http://www.zeit.de/digital/datenschutz/2015-12/mobile-banking-sparkasse-pushtan-app-gehackt
Montag, 28. Dezember 2015. Von Patrick Beuth

[Dienstag 29. Dezember 2015, 16:10]