Sparkassen-App geknackt
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Sparkassen-App geknackt
Wie Heise Online am Freitag berichtete, ist es Forschern der Universität Erlangen gelungen, die Banking-App der Sparkassen zu kompromittieren und so sowohl den Empfaenger als auch den Betrag einer damit ausgefuehrten Ueberweisung zu manipulieren.
Faktisch besteht die App aus zwei einzelnen Anwendungen. Einerseits die eigentlich Banking-App und andererseits einer weiteren App, die im Falle einer auszufuehrenden Ueberweisung ueber eine verschluesselte Verbindung eine TAN von der Bank anfordert. Diese wird dann an die eigentliche Banking-App uebergeben. Hier wird schon deutlich, dass der Sicherheitsvorteil des mTAN-Verfahrens - zwei voneinander getrennte Geraete, die einzeln angegriffen und kompromittiert werden muessen - zugunsten des gesteigerten Komforts aufgegeben wurde.
So ist es den Forschern denn auch gelungen, die eigentliche Banking-App so zu manipulieren, dass zwar zu jedem Zeitpunkt der gewuenschte Empfaenger und Betrag angezeigt werden, die tatsaechliche Ueberweisung aber mit anderen Daten erfolgt. Die Forscher benoetigten fuer die Analyse und Durchfuehrung des Angriffs nur drei Wochen und gehen nicht nur davon aus, dass dies auch Kriminellen gelingen kann sondern auch, dass andere Banking-Apps ebenso angreifbar sind.
Faktisch besteht die App aus zwei einzelnen Anwendungen. Einerseits die eigentlich Banking-App und andererseits einer weiteren App, die im Falle einer auszufuehrenden Ueberweisung ueber eine verschluesselte Verbindung eine TAN von der Bank anfordert. Diese wird dann an die eigentliche Banking-App uebergeben. Hier wird schon deutlich, dass der Sicherheitsvorteil des mTAN-Verfahrens - zwei voneinander getrennte Geraete, die einzeln angegriffen und kompromittiert werden muessen - zugunsten des gesteigerten Komforts aufgegeben wurde.
So ist es den Forschern denn auch gelungen, die eigentliche Banking-App so zu manipulieren, dass zwar zu jedem Zeitpunkt der gewuenschte Empfaenger und Betrag angezeigt werden, die tatsaechliche Ueberweisung aber mit anderen Daten erfolgt. Die Forscher benoetigten fuer die Analyse und Durchfuehrung des Angriffs nur drei Wochen und gehen nicht nur davon aus, dass dies auch Kriminellen gelingen kann sondern auch, dass andere Banking-Apps ebenso angreifbar sind.
We have bugs the likes of which even God has never seen!
- klausi1944
- Beiträge: 2263
- Registriert: So 24. Aug 2014, 19:02
- Betriebssystem: Win 8.1 64 bit Bing, Windows 10, Version 21H1x64
- Virenscanner: Windows Defender
- Wohnort: Sachsen, Geburtsort Adelsberg
Re: Sparkassen-App geknackt
Vieleicht ne dumme Frage dazu:
Banking-App- betrifft das nur Smartphones und Co., oder auch ganz normale Handys, wo die Sparkasse die SMS mit der PIN zusendet?
Banking-App- betrifft das nur Smartphones und Co., oder auch ganz normale Handys, wo die Sparkasse die SMS mit der PIN zusendet?
Redet einer schlecht von dir - sei´s ihm erlaubt,
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Sparkassen-App geknackt
Das betrifft "nur" die Apps auf Smartphones.
We have bugs the likes of which even God has never seen!
-
- Beiträge: 187
- Registriert: So 24. Aug 2014, 18:34
- Betriebssystem: Windows 7; Linux Mint 17
- Virenscanner: Bitdefender
Re: Sparkassen-App geknackt
Mit dem SMS-TAN-Verfahren von Klausi hatten jüngst einige Telekom-Kunden erhebliche Probleme.....
http://www.faz.net/aktuell/wirtschaft/n ... 70192.html
Also bei Handy-Vertrag über die Telekom: Gaaaaaaaaaaaaaanz schnell Kontoauszüge checken...
http://www.faz.net/aktuell/wirtschaft/n ... 70192.html
Also bei Handy-Vertrag über die Telekom: Gaaaaaaaaaaaaaanz schnell Kontoauszüge checken...
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Sparkassen-App geknackt
Der Thread dazu:
http://www.pc-notfallklinik.de/viewtopic.php?f=21&t=994" onclick="window.open(this.href);return false;
http://www.pc-notfallklinik.de/viewtopic.php?f=21&t=994" onclick="window.open(this.href);return false;
We have bugs the likes of which even God has never seen!
-
- Beiträge: 187
- Registriert: So 24. Aug 2014, 18:34
- Betriebssystem: Windows 7; Linux Mint 17
- Virenscanner: Bitdefender
Re: Sparkassen-App geknackt
Danke, Papa
Apropos "Papa": Morgen abend im Free-TV "Stromberg - Der Film". Nicht verpassen!
"Lass das mal den Papa machen, Papa macht das gut!"
Apropos "Papa": Morgen abend im Free-TV "Stromberg - Der Film". Nicht verpassen!
"Lass das mal den Papa machen, Papa macht das gut!"
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Sparkassen-App geknackt
Neee, ganz bestimmt verpass' ich den nicht!
We have bugs the likes of which even God has never seen!
- klausi1944
- Beiträge: 2263
- Registriert: So 24. Aug 2014, 19:02
- Betriebssystem: Win 8.1 64 bit Bing, Windows 10, Version 21H1x64
- Virenscanner: Windows Defender
- Wohnort: Sachsen, Geburtsort Adelsberg
Re: Sparkassen-App geknackt
Bin ich froh, bei Vodafone zu sein.Curry hat geschrieben:Mit dem SMS-TAN-Verfahren von Klausi hatten jüngst einige Telekom-Kunden erhebliche Probleme.....
Redet einer schlecht von dir - sei´s ihm erlaubt,
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
Re: Sparkassen-App geknackt
Bin ich froh, das meine Bank um die Ecke ist .
Nix mit Onlinebanking und Co .
Nix mit Onlinebanking und Co .
- AlfaMS
- Beiträge: 1835
- Registriert: So 24. Aug 2014, 15:20
- Betriebssystem: LinuxMint 64 & Windows 10 Pro 64 (DualBoot)
- Wohnort: Münster
Re: Sparkassen-App geknackt
Auch ich habe vor Jahren entschieden, dass mir Onlinebanking zu unsicher ist - ich habe allerdings den Vorteil, dass meine Bank in der Innenstadt zehn Minuten von Zuhause entfernt ist und an sechs Tagen die Woche geöffnet hat.
Wenn ich noch auf dem Land wohnte wäre das vermutlich auch eine andere Ausgangslage, ebenso wie mit dem bei uns abgeschafften Auto; der ÖPNV hier reicht uns stets. Und sollten wir mal über Land dorthin müssen, wo sich Fuchs und Igel Gute Nacht sagen können wir immer noch einen preiswerten Mietwagen nehmen: Keine Garagenmiete, keine Sorge um eine der Jahreszeit angemessene Bereifung, keine TÜV-Termine, keine Ersatzteilbeschaffung. Hach ja.
Wenn ich noch auf dem Land wohnte wäre das vermutlich auch eine andere Ausgangslage, ebenso wie mit dem bei uns abgeschafften Auto; der ÖPNV hier reicht uns stets. Und sollten wir mal über Land dorthin müssen, wo sich Fuchs und Igel Gute Nacht sagen können wir immer noch einen preiswerten Mietwagen nehmen: Keine Garagenmiete, keine Sorge um eine der Jahreszeit angemessene Bereifung, keine TÜV-Termine, keine Ersatzteilbeschaffung. Hach ja.
Give Peace A Chance
- rajo
- Moderator
- Beiträge: 795
- Registriert: So 24. Aug 2014, 15:19
- Betriebssystem: Linux und Windows -
- Wohnort: zur Pforte des Glücks ( Hamminkeln ) :)
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Sparkassen-App geknackt
Passt hier aber nicht wirklich, da es in dem Urteil um einen TAN-Generator ging und nicht um eine Smartphone-App.
We have bugs the likes of which even God has never seen!
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Sparkassen-App geknackt
In einer Stellungnahme haben die Sparkassen der Darstellung der Forscher widersprochen, dass die App der Sparkassen unsicher sei. Dies betraefe nur aeltere Versionen der Software.
Hintergrund ist dabei aber anscheinend, dass die Forscher zwecks Vereinfachung ein gerootetes Smartphone fuer ihren Angriff auf die App benutzten. Die aktuelle Version des Programms erkennt demnach ein gerootetes Smartphone und verweigert dann den Dienst. Dies duerfte fuer Kriminelle aber keineswegs eine unueberwindbare Huerde darstellen, da es beispielsweise auch ueber Sicherheitsluecken in anderen Apps oder dem Betriebssystem des Smartphones selbst moeglich sein kann, die notwendigen Rechte zu erlangen.
Hintergrund ist dabei aber anscheinend, dass die Forscher zwecks Vereinfachung ein gerootetes Smartphone fuer ihren Angriff auf die App benutzten. Die aktuelle Version des Programms erkennt demnach ein gerootetes Smartphone und verweigert dann den Dienst. Dies duerfte fuer Kriminelle aber keineswegs eine unueberwindbare Huerde darstellen, da es beispielsweise auch ueber Sicherheitsluecken in anderen Apps oder dem Betriebssystem des Smartphones selbst moeglich sein kann, die notwendigen Rechte zu erlangen.
We have bugs the likes of which even God has never seen!
- rajo
- Moderator
- Beiträge: 795
- Registriert: So 24. Aug 2014, 15:19
- Betriebssystem: Linux und Windows -
- Wohnort: zur Pforte des Glücks ( Hamminkeln ) :)
Re: Sparkassen-App geknackt
diese Feststellung :
und selbstverständlich ist ein Sicherungssystem welches 2 voneinander unabhängige Systeme benützt per se sicherer -
Das ist doch ganz einleuchtend - Naja die Bequemlichkeit hat noch nie vor Schaden geschützt.
Just my 2 cents
Rajo
hat es aber auch in sichHaftung der Banken
Dass die Sparkasse trotzdem beteuert: "Die Absicherung des pushTAN-Verfahrens ist im Rahmen der kontinuierlichen Weiterentwicklung sichergestellt", ist eine gute Nachricht für Anwender, die die Bequemlichkeit von mobilen Transaktionen auf dem Handy schätzen. Heißt es doch, dass sie sich getrost auf die Sicherheit des Verfahrens verlassen dürfen – und dass im etwaigen Missbrauchsfall natürlich nicht sie, sondern die Banken in der Verantwortung stehen, den entstandenen Schaden zu begleichen. Jetzt wäre noch schön, wenn die Banken das in dieser Deutlichkeit bestätigen
und selbstverständlich ist ein Sicherungssystem welches 2 voneinander unabhängige Systeme benützt per se sicherer -
Das ist doch ganz einleuchtend - Naja die Bequemlichkeit hat noch nie vor Schaden geschützt.
Just my 2 cents
Rajo