pushTAN-App der Sparkasse mit Sicherheitsl├╝cken

Die meisten Nutzer von Smartphones und Tablets verf├╝gen inzwischen auch f├╝r das Online-Banking ├╝ber Apps von ihren Banken. Sie nutzen die einfachen M├Âglichkeiten f├╝r ├ťberweisungen, Pr├╝fungen des Kontostandes und ├Ąhnliche Dinge. Besonders beliebt sind auch die Apps, die das Online Banking erleichtern sollen. Ein Beispiel ist die pushTAN-App der Sparkasse, die entsprechende Tokens f├╝r ├ťberweisungen bereitstellt. Wie nun Experten aus dem Bereich der IT-Sicherheit bewiesen haben, ist aber gerade dieses sensible Programm als durchaus angreifbar zu bezeichnen.

Bereits vor einigen Wochen musste sich die Sparkasse den Vorwurf gefallen lassen, dass bei ihrer App f├╝r die mobilen TAN-L├Âsungen ein Hack m├Âglich w├Ąre. Vincent Haupert und Tilo M├╝ller von der Universit├Ąt in Erlangen sind anerkannte Experten aus dem Bereich der IT-Sicherheit und haben bereits vor einiger Zeit bewiesen, dass es m├Âglich ist, sich Zugriff auf die sensiblen Daten der App zu verschaffen. Zwar hatte die Sparkasse kurz darauf hingewiesen, dass die entsprechenden L├╝cken in der Sicherheit mit der neusten Version behoben worden sind – wie sich nun herausstellt, stimmt das aber nicht. Einzig der Aufwand f├╝r eine Manipulation der Daten ist noch einmal gestiegen.

Der entsprechende Versuch sich auch in der neusten und somit vermeintlich sicheren Version der pushTAN-App Zugriff zu verschaffen, wurde beim k├╝rzlich beendeten 32C3 Kongress demonstriert. Auf dem Kongress f├╝r IT-Sicherheit und Hacking zeigten die beiden Experten, dass es zwar tats├Ąchlich mehr Sicherheit in den neusten Versionen gibt, aber nicht die Rede davon sein kann, dass die App an sich nun sicher ist. Das Video dazu kann hier┬áangesehen werden.

Um das zu beweisen, haben die beiden Forscher ein Programm genutzt, das eigentlich f├╝r die Sicherheit in der Programmierung verantwortlich ist. Mit Hilfe er Funktionsweise dieser Programme war es m├Âglich, auch jetzt noch Dateien zu finden, mit denen man sich einen Zugriff auf die sensibelsten Bereiche der App verschaffen kann. Nun war es nur noch n├Âtig, einige ├änderungen vorzunehmen. Die beiden Experten sagen zwar auch, dass die Sicherheit in der App inzwischen besser ist – sie zeigen aber in dem Versuch auch auf, wie einfach es eigentlich ist, sich Zugriff auf den sensiblen Kern zu verschaffen. Daf├╝r reicht es im Zweifel schon, wenn der Angreifer wei├č, wie er seine eigenen Spuren verschleiert. In dem Video, das sie von ihrem Versuch gemacht haben, war dann auch zu sehen, dass der Benutzer nach dem Hack erst sehr sp├Ąt bemerken w├╝rde, dass seine App kompromittiert ist. Denn um den Transaktionsbetrug zu bemerken, m├╝sste der Anwender sich die ├ťberweisungsdetails genau ansehen.

Das Online-Banking war schon immer einer der sensibelsten Bereiche f├╝r die IT-Sicherheit bei normalen Benutzern. Mit der gestiegenen Nutzung von Apps und mobilen L├Âsungen haben sich viele potentielle Gefahren offenbart, die es nun zu bek├Ąmpfen gilt. F├╝r Nutzer ist es daher sehr wichtig, dass sie weitere Ma├čnahmen f├╝r den Schutz ihrer sensiblen Daten ergreifen. Dabei sei es gerade beim Online-Banking besonders wichtig, auf die Zwei-Faktor-Authentifizierung zu setzen. Laut den Banken eine Sache, die l├Ąngst ├╝berf├Ąllig sei. Denn generell sollte eine TAN auf keinen Fall auf demselben Endger├Ąt genutzt werden, auf dem das Online-Banking stattfindet. Ansonsten besteht die Gefahr, dass ein Angreifer auf beide Ger├Ąte zugreifen kann. Daher empfiehlt es sich, immer zwei separate Endger├Ąte zu verwenden, wie zum Beispiel den PC und das Handy. Neben einer aktualisierten Software f├╝r die Sicherheit und st├Ąndigen Updates f├╝r die Apps kommt es vor allem auf eine gesunde Kontrolle der eigenen Daten an. Wer auf die Sicherheit achtet und nebenbei die Infrastruktur von PC und Tablet aktuell h├Ąlt, hat die geringsten Gefahren zu bef├╝rchten.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie k├Ânnen dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

´╗┐