photoTAN-Verfahren auf Android-Smartphones geknackt

19. Oktober 2016, 12:45
  • security
  • app
  • sicherheit
image

Zwei IT-Sicherheitsforschern ist es nach einem Bericht der 'Süddeutschen Zeitung' gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken.

Zwei IT-Sicherheitsforschern ist es nach einem Bericht der 'Süddeutschen Zeitung' gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken. Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen konnten allerdings nur manipuliert werden, wenn sowohl die Banking-App als auch die photoTAN-App auf einem Gerät installiert sind.
Mit dem photoTAN-Verfahren wird ein einmalig zu nutzendes Passwort erzeugt, bestehend aus einem Bild aus kleinen Punkten. Dieses enthält die Transaktionsdaten. Die Grafik wird mit dem Smartphone oder Lesegerät abgescannt und entschlüsselt. Nach der Entschlüsselung der photoTAN sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen. Kunden können die Angaben überprüfen und die TAN eingeben.
Attacke auch bei iPhone-System denkbar
Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die photoTAN-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Faktor-Authentifizierung ausgehebelt wird. "Das Photo-Tan-Verfahren verliert das 'Foto' im Namen, da schliesslich nichts mehr fotografiert wird", zitiert die Zeitung einen der beiden Forscher. Die Daten würden von einer App zur nächsten weitergegeben, was Hackern den vollen Zugriff ermögliche. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher. (sda/kjo)

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022