Zwei IT-Sicherheitsforschern ist es nach einem Bericht der 'Süddeutschen Zeitung' gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken. Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen konnten allerdings nur manipuliert werden, wenn sowohl die Banking-App als auch die photoTAN-App auf einem Gerät installiert sind.

Mit dem photoTAN-Verfahren wird ein einmalig zu nutzendes Passwort erzeugt, bestehend aus einem Bild aus kleinen Punkten. Dieses enthält die Transaktionsdaten. Die Grafik wird mit dem Smartphone oder Lesegerät abgescannt und entschlüsselt. Nach der Entschlüsselung der photoTAN sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen. Kunden können die Angaben überprüfen und die TAN eingeben.

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die photoTAN-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Faktor-Authentifizierung ausgehebelt wird. "Das Photo-Tan-Verfahren verliert das 'Foto' im Namen, da schliesslich nichts mehr fotografiert wird", zitiert die Zeitung einen der beiden Forscher. Die Daten würden von einer App zur nächsten weitergegeben, was Hackern den vollen Zugriff ermögliche. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher. (sda/kjo)