Sparkassen-App geknackt

Aktuelles rund um das Thema IT-Sicherheit
Antworten
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Sparkassen-App geknackt

Beitrag von NoG »

Wie Heise Online am Freitag berichtete, ist es Forschern der Universität Erlangen gelungen, die Banking-App der Sparkassen zu kompromittieren und so sowohl den Empfaenger als auch den Betrag einer damit ausgefuehrten Ueberweisung zu manipulieren.

Faktisch besteht die App aus zwei einzelnen Anwendungen. Einerseits die eigentlich Banking-App und andererseits einer weiteren App, die im Falle einer auszufuehrenden Ueberweisung ueber eine verschluesselte Verbindung eine TAN von der Bank anfordert. Diese wird dann an die eigentliche Banking-App uebergeben. Hier wird schon deutlich, dass der Sicherheitsvorteil des mTAN-Verfahrens - zwei voneinander getrennte Geraete, die einzeln angegriffen und kompromittiert werden muessen - zugunsten des gesteigerten Komforts aufgegeben wurde.

So ist es den Forschern denn auch gelungen, die eigentliche Banking-App so zu manipulieren, dass zwar zu jedem Zeitpunkt der gewuenschte Empfaenger und Betrag angezeigt werden, die tatsaechliche Ueberweisung aber mit anderen Daten erfolgt. Die Forscher benoetigten fuer die Analyse und Durchfuehrung des Angriffs nur drei Wochen und gehen nicht nur davon aus, dass dies auch Kriminellen gelingen kann sondern auch, dass andere Banking-Apps ebenso angreifbar sind.
We have bugs the likes of which even God has never seen!
Benutzeravatar
klausi1944
Beiträge: 2263
Registriert: So 24. Aug 2014, 19:02
Betriebssystem: Win 8.1 64 bit Bing, Windows 10, Version 21H1x64
Virenscanner: Windows Defender
Wohnort: Sachsen, Geburtsort Adelsberg

Re: Sparkassen-App geknackt

Beitrag von klausi1944 »

Vieleicht ne dumme Frage dazu:
Banking-App- betrifft das nur Smartphones und Co., oder auch ganz normale Handys, wo die Sparkasse die SMS mit der PIN zusendet? :ka: :denk:
Redet einer schlecht von dir - sei´s ihm erlaubt,
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Sparkassen-App geknackt

Beitrag von NoG »

Das betrifft "nur" die Apps auf Smartphones.
We have bugs the likes of which even God has never seen!
Curry
Beiträge: 187
Registriert: So 24. Aug 2014, 18:34
Betriebssystem: Windows 7; Linux Mint 17
Virenscanner: Bitdefender

Re: Sparkassen-App geknackt

Beitrag von Curry »

Mit dem SMS-TAN-Verfahren von Klausi hatten jüngst einige Telekom-Kunden erhebliche Probleme.....

:pfeif:

http://www.faz.net/aktuell/wirtschaft/n ... 70192.html

Also bei Handy-Vertrag über die Telekom: Gaaaaaaaaaaaaaanz schnell Kontoauszüge checken... ;)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Sparkassen-App geknackt

Beitrag von NoG »

Der Thread dazu:
http://www.pc-notfallklinik.de/viewtopic.php?f=21&t=994" onclick="window.open(this.href);return false;
We have bugs the likes of which even God has never seen!
Curry
Beiträge: 187
Registriert: So 24. Aug 2014, 18:34
Betriebssystem: Windows 7; Linux Mint 17
Virenscanner: Bitdefender

Re: Sparkassen-App geknackt

Beitrag von Curry »

Danke, Papa :lol:

Apropos "Papa": Morgen abend im Free-TV "Stromberg - Der Film". Nicht verpassen!

"Lass das mal den Papa machen, Papa macht das gut!" ;)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Sparkassen-App geknackt

Beitrag von NoG »

;)

Neee, ganz bestimmt verpass' ich den nicht! :top:
We have bugs the likes of which even God has never seen!
Benutzeravatar
klausi1944
Beiträge: 2263
Registriert: So 24. Aug 2014, 19:02
Betriebssystem: Win 8.1 64 bit Bing, Windows 10, Version 21H1x64
Virenscanner: Windows Defender
Wohnort: Sachsen, Geburtsort Adelsberg

Re: Sparkassen-App geknackt

Beitrag von klausi1944 »

Curry hat geschrieben:Mit dem SMS-TAN-Verfahren von Klausi hatten jüngst einige Telekom-Kunden erhebliche Probleme.....

:pfeif:
Bin ich froh, bei Vodafone zu sein. ;) :pfeif:
Redet einer schlecht von dir - sei´s ihm erlaubt,
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
Konto 59 gelöscht

Re: Sparkassen-App geknackt

Beitrag von Konto 59 gelöscht »

Bin ich froh, das meine Bank um die Ecke ist . :perfekt:
Nix mit Onlinebanking und Co . ;)
Benutzeravatar
AlfaMS
Beiträge: 1835
Registriert: So 24. Aug 2014, 15:20
Betriebssystem: LinuxMint 64 & Windows 10 Pro 64 (DualBoot)
Wohnort: Münster

Re: Sparkassen-App geknackt

Beitrag von AlfaMS »

Auch ich habe vor Jahren entschieden, dass mir Onlinebanking zu unsicher ist - ich habe allerdings den Vorteil, dass meine Bank in der Innenstadt zehn Minuten von Zuhause entfernt ist und an sechs Tagen die Woche geöffnet hat.
Wenn ich noch auf dem Land wohnte wäre das vermutlich auch eine andere Ausgangslage, ebenso wie mit dem bei uns abgeschafften Auto; der ÖPNV hier reicht uns stets. Und sollten wir mal über Land dorthin müssen, wo sich Fuchs und Igel Gute Nacht sagen können wir immer noch einen preiswerten Mietwagen nehmen: Keine Garagenmiete, keine Sorge um eine der Jahreszeit angemessene Bereifung, keine TÜV-Termine, keine Ersatzteilbeschaffung. Hach ja. :mrgreen:
Give Peace A Chance
Benutzeravatar
rajo
Moderator
Beiträge: 795
Registriert: So 24. Aug 2014, 15:19
Betriebssystem: Linux und Windows -
Wohnort: zur Pforte des Glücks ( Hamminkeln ) :)

Re: Sparkassen-App geknackt

Beitrag von rajo »

NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Sparkassen-App geknackt

Beitrag von NoG »

Passt hier aber nicht wirklich, da es in dem Urteil um einen TAN-Generator ging und nicht um eine Smartphone-App.
We have bugs the likes of which even God has never seen!
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Sparkassen-App geknackt

Beitrag von NoG »

In einer Stellungnahme haben die Sparkassen der Darstellung der Forscher widersprochen, dass die App der Sparkassen unsicher sei. Dies betraefe nur aeltere Versionen der Software.

Hintergrund ist dabei aber anscheinend, dass die Forscher zwecks Vereinfachung ein gerootetes Smartphone fuer ihren Angriff auf die App benutzten. Die aktuelle Version des Programms erkennt demnach ein gerootetes Smartphone und verweigert dann den Dienst. Dies duerfte fuer Kriminelle aber keineswegs eine unueberwindbare Huerde darstellen, da es beispielsweise auch ueber Sicherheitsluecken in anderen Apps oder dem Betriebssystem des Smartphones selbst moeglich sein kann, die notwendigen Rechte zu erlangen.
We have bugs the likes of which even God has never seen!
Benutzeravatar
rajo
Moderator
Beiträge: 795
Registriert: So 24. Aug 2014, 15:19
Betriebssystem: Linux und Windows -
Wohnort: zur Pforte des Glücks ( Hamminkeln ) :)

Re: Sparkassen-App geknackt

Beitrag von rajo »

diese Feststellung :
Haftung der Banken

Dass die Sparkasse trotzdem beteuert: "Die Absicherung des pushTAN-Verfahrens ist im Rahmen der kontinuierlichen Weiterentwicklung sichergestellt", ist eine gute Nachricht für Anwender, die die Bequemlichkeit von mobilen Transaktionen auf dem Handy schätzen. Heißt es doch, dass sie sich getrost auf die Sicherheit des Verfahrens verlassen dürfen – und dass im etwaigen Missbrauchsfall natürlich nicht sie, sondern die Banken in der Verantwortung stehen, den entstandenen Schaden zu begleichen. Jetzt wäre noch schön, wenn die Banken das in dieser Deutlichkeit bestätigen
hat es aber auch in sich :perfekt: :top:

und selbstverständlich ist ein Sicherungssystem welches 2 voneinander unabhängige Systeme benützt per se sicherer -
Das ist doch ganz einleuchtend - Naja die Bequemlichkeit hat noch nie vor Schaden geschützt.

Just my 2 cents :pfeif:
Rajo
Antworten