pushTAN-App der Sparkasse mit Sicherheitslücken

Die meisten Nutzer von Smartphones und Tablets verfügen inzwischen auch für das Online-Banking über Apps von ihren Banken. Sie nutzen die einfachen Möglichkeiten für Überweisungen, Prüfungen des Kontostandes und ähnliche Dinge. Besonders beliebt sind auch die Apps, die das Online Banking erleichtern sollen. Ein Beispiel ist die pushTAN-App der Sparkasse, die entsprechende Tokens für Überweisungen bereitstellt. Wie nun Experten aus dem Bereich der IT-Sicherheit bewiesen haben, ist aber gerade dieses sensible Programm als durchaus angreifbar zu bezeichnen.

Bereits vor einigen Wochen musste sich die Sparkasse den Vorwurf gefallen lassen, dass bei ihrer App für die mobilen TAN-Lösungen ein Hack möglich wäre. Vincent Haupert und Tilo Müller von der Universität in Erlangen sind anerkannte Experten aus dem Bereich der IT-Sicherheit und haben bereits vor einiger Zeit bewiesen, dass es möglich ist, sich Zugriff auf die sensiblen Daten der App zu verschaffen. Zwar hatte die Sparkasse kurz darauf hingewiesen, dass die entsprechenden Lücken in der Sicherheit mit der neusten Version behoben worden sind – wie sich nun herausstellt, stimmt das aber nicht. Einzig der Aufwand für eine Manipulation der Daten ist noch einmal gestiegen.

Der entsprechende Versuch sich auch in der neusten und somit vermeintlich sicheren Version der pushTAN-App Zugriff zu verschaffen, wurde beim kürzlich beendeten 32C3 Kongress demonstriert. Auf dem Kongress für IT-Sicherheit und Hacking zeigten die beiden Experten, dass es zwar tatsächlich mehr Sicherheit in den neusten Versionen gibt, aber nicht die Rede davon sein kann, dass die App an sich nun sicher ist. Das Video dazu kann hier angesehen werden.

Um das zu beweisen, haben die beiden Forscher ein Programm genutzt, das eigentlich für die Sicherheit in der Programmierung verantwortlich ist. Mit Hilfe er Funktionsweise dieser Programme war es möglich, auch jetzt noch Dateien zu finden, mit denen man sich einen Zugriff auf die sensibelsten Bereiche der App verschaffen kann. Nun war es nur noch nötig, einige Änderungen vorzunehmen. Die beiden Experten sagen zwar auch, dass die Sicherheit in der App inzwischen besser ist – sie zeigen aber in dem Versuch auch auf, wie einfach es eigentlich ist, sich Zugriff auf den sensiblen Kern zu verschaffen. Dafür reicht es im Zweifel schon, wenn der Angreifer weiß, wie er seine eigenen Spuren verschleiert. In dem Video, das sie von ihrem Versuch gemacht haben, war dann auch zu sehen, dass der Benutzer nach dem Hack erst sehr spät bemerken würde, dass seine App kompromittiert ist. Denn um den Transaktionsbetrug zu bemerken, müsste der Anwender sich die Überweisungsdetails genau ansehen.

Das Online-Banking war schon immer einer der sensibelsten Bereiche für die IT-Sicherheit bei normalen Benutzern. Mit der gestiegenen Nutzung von Apps und mobilen Lösungen haben sich viele potentielle Gefahren offenbart, die es nun zu bekämpfen gilt. Für Nutzer ist es daher sehr wichtig, dass sie weitere Maßnahmen für den Schutz ihrer sensiblen Daten ergreifen. Dabei sei es gerade beim Online-Banking besonders wichtig, auf die Zwei-Faktor-Authentifizierung zu setzen. Laut den Banken eine Sache, die längst überfällig sei. Denn generell sollte eine TAN auf keinen Fall auf demselben Endgerät genutzt werden, auf dem das Online-Banking stattfindet. Ansonsten besteht die Gefahr, dass ein Angreifer auf beide Geräte zugreifen kann. Daher empfiehlt es sich, immer zwei separate Endgeräte zu verwenden, wie zum Beispiel den PC und das Handy. Neben einer aktualisierten Software für die Sicherheit und ständigen Updates für die Apps kommt es vor allem auf eine gesunde Kontrolle der eigenen Daten an. Wer auf die Sicherheit achtet und nebenbei die Infrastruktur von PC und Tablet aktuell hält, hat die geringsten Gefahren zu befürchten.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>