Forscher der Friedrich-Alexander Universität Erlangen-Nürnberg warnen vor einer Schwachstelle, die in Deutschland verbreitete mobile Banking-Apps angreifbar macht. Betroffen sind einem Bericht der Süddeutschen Zeitung zufolge 31 Anwendungen, unter anderem von Commerzbank, Stadtsparkassen, Comdirect und Fidor Bank. Der Fehler steckt allerdings nicht direkt in den Apps – die Verantwortung liegt bei einem externen Dienstleister, der eigentlich für die Absicherung der Apps zuständig war.
Die Sicherheitslücke soll es Unbefugten aber auch erlauben, die fragliche Banking-App jederzeit auszuführen oder zu kopieren und Zahlungsdaten zu verändern. Auch das TAN-Verfahren wird durch die Sicherheitslücke kompromittiert, da es möglich ist, die Transaktionsnummer an ein beliebiges Gerät zu schicken – also auch an ein Gerät, das unter der Kontrolle eines Angreifers steht.
Der Angriff funktioniert aber nur mit einer Einschränkung: Banking-App und Tan-App müssen auf demselben Smartphone ausgeführt werden. Die ebenfalls betroffenen Volksbanken-Raiffeisenbanken erklärten in dem Zusammenhang, ihre Banking-App sei “bereits millionenfach heruntergeladen” worden, nur sehr wenige Nutzer setzten aber auch das mobile TAN-Verfahren ein. Genau davon raten die Forscher nun ab. “Wir wollen zeigen, dass es unzureichend ist, sich für Online-Banking ausschließlich auf das Smartphone zu verlassen”, sagte Haupert.
Alle betroffenen Apps greifen dem Bericht zufolge auf den IT-Dienstleister Promon zurück. Dessen Technikchef habe die Erkenntnisse der Forscher bestätigt. Er betonte in einem Telefoninterview mit der Süddeutschen Zeitung jedoch, dass es bisher keinem Kriminellen gelungen sei, “unsere Sicherheitslösung zu umgehen”. Promon schütze 100 Millionen Nutzer weltweit. Man stehe mit den Forschern in Kontakt, um die Sicherheitslücke zu schließen.
Eigentlich soll Promon Banking-Apps vor Schadsoftware auf einem mobilen Gerät schützen. Zu diesem Zweck tauschen sie ständig Informationen mit Promon aus. Reißt diese Verbindung ab, weil die Schutzfunktionen von Promon entfernt werden, funktioniert die App nicht mehr. Bei der Analyse dieser Informationen stießen die Forscher offenbar auf eine Schwachstelle, mit deren Hilfe sich alle Sicherheitsmaßnahmen abschalten lassen. Den dafür benötigten Angriff bezeichneten die Forscher als “sehr komplex”. Selbst versierte Hacker sollen mehrere Monate benötigen, um alle Details trotz einer vorliegenden Anleitung nachstellen zu können. Den Beispielcode halten die Forscher weiter unter Verschluss. Zusätzliche Details wollen sie jedoch zum Jahresende auf der Konferenz des Chaos Computer Club präsentieren.
Den Banken soll das Risiko indes bekannt sein. Sie betonten auf Nachfrage der Zeitung, dass sie die IT-Sicherheit ihrer Kunden sehr ernst nähmen. Da in der “Praxis ein massentauglicher Angriff deutlich schwieriger” sei, hielten sie unter Abwägung von Risiko und Kundennutzen daran fest, Banking und TAN-Vergabe auf einem Gerät zu erlauben. Nutzer von mobilem Online-Banking sollten trotzdem darauf achten, TANs nicht auf dem Gerät zu generieren, auf dem auch die Online-Banking-App läuft.
Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…