21.10.2016 | 13:09 | skl
Online-Banking Sicherheitslücken beim photoTAN-Verfahren
Sind sowohl photoTAN- als auch Banking-App auf einem Smartphone installiert, können Unbefugte Überweisungen unter bestimmten Bedingungen unbemerkt ausführen – wie Bequemlichkeit die eigentlich sichere Zwei-Wege-Authentifizierung unterläuft.
Doppelt genäht hält besser – nach diesem Prinzip funktioniert auch die Zwei-Wege-Authentifizierung beim sogenannten photoTAN-Verfahren. Dazu sind zwei Geräte erforderlich. Um im Online-Banking am PC zum Beispiel einen Überweisungsauftrag zu bestätigen, wird eine Grafik mit verschlüsselten Transaktionsdaten erzeugt. Nachdem der Kontoinhaber diese mit der photoTAN-App auf seinem Smartphone von Bildschirm abfotografiert hat, wird auf dem mobilen Gerät eine TAN angezeigt. Die muss der Kunde nur noch im Online-Banking auf dem PC eingeben. Die Verwendung von zwei Geräten soll Fremdzugriffe erschweren. Dass eine doppelte Absicherung bei unsachgemäßer Benutzung aber nicht immer sicher ist, haben jetzt die beiden IT-Sicherheitsforscher Vincent Haupert und Tilo Müller von der Friedrich-Alexander Universität Erlangen-Nürnberg herausgefunden.
Überweisungen umleiten, erstellen und verstecken
Nachdem die Wissenschaftler eine Schadsoftware auf Android-Smartphones installiert hatten, konnten sie Onlineüberweisungen einfach umleiten oder selber in Auftrag geben – allerdings nur, wenn sowohl photoTAN- als auch Banking-App auf dem Smartphone installiert waren. Dann nämlich tauschen Banking- und photoTAN-App die verschlüsselten Transaktionsdaten und die TAN direkt untereinander über die sogenannte App-to-App-Kommunikation aus – der Nutzer muss also gar kein Muster mehr vom Bildschirm eines PCs abfotografieren. Das ist für ihn bequem, kann dem Experiment zufolge aber unsicher sein.Eine reale Gefahr entsteht, wenn der Nutzer außerdem eine App mit Virus auf seinem Smartphone installiert hat. Schadsoftware wie „Godless“ beispielsweise konnten sich Besitzer von Android-Smartphones über Apps einfangen, die sie regulär über den Google Play Store heruntergeladen haben. Millionen von Smartphones wurden auf diesem Weg infiziert. Die Forscher führten den Versuch mit Android-Smartphones durch, doch auch Apple-Geräte könnten grundsätzlich betroffen sein, schreiben sie.
Die umgeleiteten Transaktionen sind für das Opfer nicht einsehbar, solange es seine Bankgeschäfte über das Smartphone abwickelt. „Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken“, sagte Haupert gegenüber der Süddeutschen Zeitung. Nur wer seine Überweisungen vom PC aus überprüft, hat die Chance, auf den Missbrauch aufmerksam zu werden. Angreifbar macht sich, wer Online-Banking-App als auch photoTAN-App auf einem Smartphone installiert. Denn so kann die Zwei-Wege-Authentifizierung umgangen werden, für die eigentlich zwei Geräte verwendet werden sollen. Ein konkreter Missbrauchsfall ist aber bislang nicht bekannt geworden.Für Verbraucher, die zwei verschiedene Geräte verwenden, beispielsweise PC und Smartphone, ist die Authentifizierung per photoTAN nach Einschätzung der beiden Experten sicher.
Zwei-Wege-Authentifizierung
Bei der Zwei-Wege-Authentifizierung, häufig auch Zwei-Faktoren-Authentifizierung genannt, sind meistens zwei Geräte wie beispielsweise ein PC und ein Smartphone nötig, um die Identität des Nutzers oder eine Transaktion zu bestätigen. Neben den Anmeldedaten beispielsweise im Online-Banking ist noch eine zusätzliche PIN (auch Token genannt) oder eine TAN notwendig. Diese wird an einem anderen Ort erzeugt und an den Nutzer übermittelt als auf der Webseite, auf der sich ein Nutzer anmelden will. Dies geschieht per E-Mail, SMS, Sprachanruf oder auf einem zweiten Gerät, etwa in einer photoTAN-App auf dem Smartphone oder einem TAN-Generator. Selbst wenn sich Unbefugte Zugang zum Online-Banking-Konto verschafft haben, können Sie keine Transaktionen oder ähnliches ausführen, da PIN oder TAN auf einem anderen Weg an den Nutzer übermittelt wurden. Doch App-to-App-Kommunikation wie im Versuch der beiden Forscher kann die Zwei-Wege-Authentifizierung umgehen. Sind beispielsweise Banking-App und photoTAN-App auf einem Smartphone installiert, können die Apps die Daten untereinander austauschen. Haben sich unbefugte Zugang zu dem Smartphone verschafft, können sie diese Daten möglicherweise einsehen.