EC-Kartenzahlung gehackt: Jetzt drucken Hacker ihr Geld einfach selbst
Der Sparkassen-Hack: pushTAN-Verfahren ist nach wie vor angreifbar
Video hier Klicken
Update 29.12.2015
Die pushTAN-App der Sparkasse ist nach wie vor angreifbar. Das behaupten Vincent Haupert und Tilo Müller, beides Wissenschaftler von der Friedrich Alexander Universität Erlangen-Nürnberg. Die beiden erneuerten auf dem Chaos Communication Congress in Hamburg ihre Kritik am angeblich unsicheren Verfahren der Sparkasse. Bereits im November hatten die beiden für Aufsehen gesorgt, indem sie bewiesen, das pushTAN-Verfahren manipulieren zu können. Die Sparkasse behauptete im Gegenzug, der Angriff sei nur auf mittlerweile veralteten Versionen der App möglich gewesen. Bei ihrem Vortrag in Hamburg beteuerten die beiden Wissenschaftler, mit etwas Mehraufwand auch die neueste Version der App hacken zu können. Die neue Sicherheitslösung der App suche nach allen Dateien, die für eine "Super-User-Genehmigung" zum Ausnutzen des Root-Status nötig seien. Benennt man die entsprechenden Dateien einfach um, sei der Hack wieder möglich.
Im Zentrum der Kritik stand schon damals nicht die sichere Sparkassen-App, sondern das über eine einzige Hardware laufende pushTAN-Verfahren. Eine detaillierte Beschreibung des Eingriffs stellen die Wissenschaftler i
n diesem PDF-Dokument zur Verfügung. Wie Sie weiterhin sicheres Online-Banking betreiben, erfahren Sie im folgenden Artikel.
Sparkassen-App gehackt
Zwei Wissenschaftler von der Friedrich Alexander Universität Erlangen-Nürnberg die Banking-App der Sparkasse getestet und einige Schwachstellen festgestellt. Sie raten davon ab, für Online-Banking und die TAN-Zulieferung dasselbe Gerät, etwa das Smartphone, zu nutzen. Denn so wird das Verfahren letztendlich angreifbar. Mittlerweile läuft das sogenannte pushTAN-Verfahren zwar über verschiedene Spezial-Apps, allerdings immer noch auf dem gleichen Gerät. Ist das Smartphone von Malware infiziert, ist auch diese Methode unsicher.
So nutzen Sie weiter sicheres Online-Banking
Schutz bietet in diesem Fall nur der TAN-Empfang über eine zweite Hardware, zum Beispiel per TAN-Generator. Dabei handelt es sich um ein kleines Gerät ohne Netzwerkzugang, in das man die EC-Karte einsteckt und anschließend eine TAN zugeteilt bekommt, die man per Flicker-Code auf den Bildschirm überträgt. Hier ist die TAN-Zulieferung komplett vom Smartphone samt Online-Banking-App getrennt – und somit sicher. Den
TAN-Generator der Sparkasse gibt es bereits für unter 15 Euro im Handel zu kaufen.
Wie Sie sich außerdem vor Hackern beim Online-Banking schützen können, erfahren Sie auch bei den Kollegen von Focus Online.
Experten hacken Sparkassen-App
Bei ihrem Test haben Vincent Haupert und Tilo Müller die Sparkassen-App hacken und Überweisungen ihres potenziellen Opfers zu ihren Gunsten manipulieren können. "Im Detail haben die beiden Autoren eine Transaktionssumme von 0,10 auf 13,37 EUR erhöhen und den Empfänger der Überweisung nach Belieben verändern können, ohne dass dies für das (fiktive) Opfer erkennbar gewesen wäre", heißt es in der Pressemitteilung der Forschungsgruppe Systemsicherheit und Softwareschutz. Ein riesige Sicherheitslücke, die großen Spielraum für Betrügereien bietet.
Nicht die App, sondern Smartphones sind das Problem
Die Sparkasse verweist darauf, dass die beiden Wissenschaftler lediglich eine alte Version der Push-TAN-App gehackt hätten. Die aktuelle Version sei sicher. Laut den Hackern ist nicht die App selbst das Problem, sondern die Tatsache, dass sowohl Überweisungen als auch die TAN-Zulieferung über ein Gerät betrieben werden. Und ein Smartphone kann nun mal leicht gehackt werden. Im Test wurde ein handelsübliches, aber gerootetes Nexus 5 verwendet.
Sparkassen-App unsicher?: Wissenschaftler raten von Banking-Apps ab.
Angriff kann jederzeit wiederholt werden
"Wir haben keine technische Schwachstelle ausgenutzt. Wir haben nur gezeigt, dass es ein Sicherheitsrisiko ist, beide Faktoren auf einem Gerät zu betreiben. Ich bin davon überzeugt, wenn ich mich jetzt nochmal hinsetze, dann werde ich nicht allzu lange brauchen, um genau diesen Angriff nochmal machen zu können", wird Vincent Haupert bei den Kollegen vom Bayerischen Rundfunk zitiert.
Quelle