Push-TAN leichter zu hacken

Wer seine Geldgeschäfte per Online-Banking erledigt, macht das meist in der Kombination von Desktop-PC (am besten virensicher mit Linux-Betriebssystem) und mTAN per SMS auf das Smartphone (oder besser: auf ein ganz simples altmodische Handy mit irgendeinem proprietären Betriebssystem, für das es keine Malware gibt). Oder man verwendet einen separaten TAN-Generator und erstellt damit Chip-TANs.

Als Alternative zur mTAN, also zur SMS mit der Transaktionsnummer, und zur selbst erstellen Chip-TAN bieten einige Banken auch die Push-TAN alias App-TAN an. Dabei empfängt man die TAN für den jeweiligen Bankvorgang nicht per gewöhnlicher SMS, sondern direkt in einer speziellen App, die auf dem Smartphone installiert ist. Man kann also zum Beispiel mit einer Online-Banking-App den Überweisungsantrag auf dem Smartphone ausfüllen und dann in die Push-TAN-App (bei der man immer die Original-App seiner Bank verwenden sollte) wechseln und dort eine TAN für diese Überweisung anfordern. Der Bankserver schickt die TAN dann an die Push-TAN-App. Der gesamte Online-Bankingvorgang erfolgt also auf einem einzigen Gerät.

Forscher der Informatik-Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg kritisieren nun aber das Push-TAN-Verfahren genau deswegen: „Während das etablierte chipTAN-Verfahren als sicher gilt, wird sein Komfort oft bemängelt. Mehrere deutsche Geldhäuser führen deshalb zur Zeit ein neues App-basiertes TAN-Verfahren ein, das mobiles Onlinebanking auf dem Smartphone ermöglicht. Unsere Mitarbeiter  Vincent Haupert und Tilo Müller konnten nun allerdings nachweisen, dass das neue Verfahren einen deutlichen Sicherheitsnachteil gegenüber den etablierten Verfahren hat. Das neue Verfahren opfert die hohen Sicherheitsstandards, wie sie z. B. bei dem chipTAN-Verfahren zu finden sind, zugunsten des Komforts. Zur Demonstration ihrer Behauptung haben Haupert und Müller einen Angriff realisiert, bei dem manipulierte Transaktionen per App bestätigt werden. Die Sicherheitsprobleme sind nicht durch verbesserte Programmierung lösbar, sondern liegen in der Struktur des Verfahrens begründet, nämlich einer konzeptionell schwachen Zwei-Faktor-Authentifikation".

Hier erklären die beiden Forscher ausführlich die Schwäche des neuen Verfahrens. Und zwar konkret am Beispiel des pushTAN-Verfahrens der Sparkassen mit deren S-Push-TAN-App auf gerooteten Android-Smartphones.

Die nach Meinung der Forscher entscheidende Schwäche des Push-TAN-Verfahrens liegt also darin, dass Angreifer nur ein einziges Gerät – in diesem Fall ein Smartphone – hacken müssen, um die volle Kontrolle über dessen Online-Banking-Geschäfte zu übernehmen.

Die Sparkassen haben ihr derart heftig kritisiertes Verfahren gegenüber heise.de verteidigt. Der von den Forschern durchgeführte Angriff sei nur mit „veralteten Versionsständen der S-pushTAN-App" möglich gewesen, so die Sparkassen. „Deshalb sind tatsächliche Schadensfälle aus heutiger Sicht unwahrscheinlich“, zitiert heise.de den Deutschen Sparkassen- und Giroverband 2013. Eine offizielle Stellungnahme der Sparkassen gibt es noch nicht.

Die Forscher haben auf dieses Update des S-Push-App 1.0.5 jedoch in ihrer Arbeit bereits hingewiesen und davor gewarnt, dass die App damit keinesfalls absolut sicher werde: „ Dennoch möchten wir darauf hinweisen und davor warnen, dass auch diese Version der S-Push-TAN-App (gemeint ist die aktuelle 1.0.5, Anmerkung der Redaktion) – und alle zukünftigen Versionen – mit entsprechendem Mehraufwand gebrochen werden kann. Stärkeren Maßnahmen zur Code-Obfuskierung kann immer durch stärkeres Reverse Engineering entgegengetreten werden, so dass lediglich der Realisierungsaufwand unseres Verfahrens steigen wird, während die konzeptionellen Schwächen des App-basierten TAN-Verfahrens nie beseitigt werden können.“ 

Quelle: http://www.pcwelt.de/news/Forscher-kritisieren-App-TAN-als-unsicher-9837009.html


<- Zur Übersicht