FAU-Forscher hacken Banking-Apps

Bild: Colourbox.de
Bild: Colourbox.de

Erlanger Informatiker demonstrieren strukturelles Problem der Ein-Geräte-Authentifizierung

Informatiker der FAU haben in einem Forschungsprojekt gezeigt, dass 31 Apps für mobiles Online-Banking nicht sicher sind, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. Den Wissenschaftlern ist es gelungen, eine etablierte Sicherheitssoftware automatisiert unwirksam zu machen und so Transaktionsvorgänge zu manipulieren. Damit weisen sie erneut die konzeptionelle Schwäche des Ein-Geräte-Bankings nach.

Online-Banking auf dem Smartphone ist bequem und wird immer beliebter. Aber die Installation sowohl der Banking- als auch der TAN-App auf einem Gerät birgt Risiken. Um die Sicherheit des mobilen Bankings zu erhöhen, setzen weltweit zahlreiche Finanzdienstleister auf die Software SHIELD des norwegischen IT-Dienstleisters Promon. Promon soll das Banking auf kompromittierten Geräten verhindern und interagiert dafür mit der TAN-App. Wird diese manipuliert, sperrt Promon sämtliche Transaktionsvorgänge. Umgekehrt funktioniert die TAN-App nicht, wenn die Sicherheitssoftware nicht installiert ist. „Insbesondere bei den Apps der Sparkassen-Finanzgruppe und der Volksbanken-Raiffeisenbanken ist das Promon SHIELD mittlerweile zum Dreh- und Angelpunkt der Sicherheitsarchitektur geworden“, sagt Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU.

Forscher manipulieren Sicherheitsprogramm

Haupert und seinem Forscherkollegen Nicolas Schneider ist es nun gelungen, das Promon SHIELD Schritt für Schritt zu analysieren und zu manipulieren. Sie haben ein Programm geschrieben, das die Sicherungs- und Härtungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktiviert, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. „Das Programm ist geräte- und versionsunabhängig und arbeitet vollautomatisch“, erklärt Schneider. „Wir können damit Apps kopieren, die IBAN ändern und TANs auf beliebige Geräte schicken. Kriminellen Hackern wäre es möglich, fremdes Geld unbemerkt auf eigene Konten umzuleiten.“ Die Deaktivierung des Promon SHIELD betrifft jedoch nicht nur das Banking, auch das Zertifikats-Pinning oder die Verschlüsselung sensibler Kundendaten lassen sich außer Kraft setzen. Obwohl der Angriff zunächst nur für das Betriebssystem Android simuliert wurde, wollen die Forscher zeigen, dass er auch auf iOS-Geräten möglich ist.

Verzicht auf unabhängige Zwei-Faktor-Authentifizierung bleibt problematisch

Mit ihrem Forschungsprojekt haben die FAU-Informatiker wiederholt demonstriert, dass der Betrieb sowohl der Banking-App als auch der TAN-App auf nur einem Gerät nicht sicher ist. In den vergangenen Jahren hatten sie verschiedene PushTAN- und PhotoTAN-Verfahren so manipuliert, dass Buchungen mit veränderten Beträgen auf fremde Konten umgeleitet werden konnten, ohne dass dies für den Nutzer sichtbar war. „Die Banken haben unsere Angriffe meist als akademisches Laborexperiment abgetan“, sagt Vincent Haupert. „Wir aber betrachten den Verzicht auf die sogenannte Zwei-Faktor-Authentifizierung, bei der die TAN auf einem separaten Gerät erzeugt wird, als konzeptionelle Schwäche des mobilen Bankings. Daran werden auch die ausgefeiltesten Sicherheitsprogramme nichts ändern.“ Menschen, die nicht auf das mobile Banking verzichten wollen, rät Haupert zur Nutzung eines TAN-Generators.

Weitere Informationen:

Vincent Haupert
vincent.haupert@cs.fau.de

Nicolas Schneider
nicolas.schneider@fau.de