Hacker-Kongress

34C3: Warnung vor Mobile Banking mit nur einer App

Die Erledigung von Bankgeschäften mit einer Smartphone-App hat in den vergangenen Jahren immer weiter zugenommen. Auf dem 34C3 wurde nun demonstriert, dass diese Apps nicht unbedingt sicher sind.
Von Stefan Kirchner mit Material von dpa

34C3 Mobile-Banking-Apps sind nicht per se völlig sicher
Foto: picture-alliance / dpa Die zunehmende Benutzer­freundlichkeit beim Online-Banking mit dem Smartphone geht nach Überzeugung von Informatikern der Universität Erlangen-Nürnberg zwangsläufig auf Kosten der Sicherheit. Der Trend zur Nutzung von Online-Banking mit nur einer App berge die Gefahr von Betrug und Manipulationen etwa bei Überweisungen, warnte der Doktorand Vincent Haupert auf dem Kongress des Chaos Computer Clubs (CCC) in Leipzig. Sicherer sei die Zwei-Geräte-Authentifizierung mit einer getrennten Übermittlung der TAN-Daten.

Zusammen mit Nicolas Schneider entwickelte Haupert ein Verfahren, um eine von etlichen Banken und Sparkassen für ihre Apps verwendete Sicherungs­technik eines externen Anbieters auszuschalten. Über dieses ziemlich komplexe Verfahren hatte Ende November bereits die Süddeutsche Zeitung berichtet.

Banking-Apps als potenzielles Ziel

34C3 Mobile-Banking-Apps sind nicht per se völlig sicher
Foto: picture-alliance / dpa Auf dem 34. Chaos Communication Congress (34C3) demonstrierte Haupert nun, wie er eine Konfigurations­datei manipulieren - "hey, da schreiben wir überall Nullen rein" - und so den Schutz der Banking-App auf einem Android-Smartphone entfernen konnte. Anschließend war es ihm möglich, den Namen des Empfängers wie den Betrag einer Überweisung zu ändern. Für die Konkurrenz-Plattform iOS stehe der erfolgreiche Versuch noch aus.

Das Fatale an der Entdeckung ist, dass der Angriffspunkt bei über 31 verschiedenen Banking-Apps diverser Banken erfolgreich nachgewiesen werden konnte. Dreh- und Angelpunkt der Angriffe ist das Sicherheits­programm Promon, welches Manipulationen durch Malware auf dem Gerät erkennen und Bank­geschäfte dann verhindern soll. Solange Banking-App und TAN-Generator auf ein und demselben Gerät installiert sind, ist eine Überweisung prinzipiell angreifbar.

Haupert sagte, er habe den Hersteller der Sicherungs­technik auf die Probleme hingewiesen. Inzwischen gebe es eine neue Version der Schutz­software. Bislang seien den Banken nach deren Angaben auch keine Schadens­fälle bekannt und diese sehen die Bemühungen der Hacker lediglich als unrealistische Szenarios an. Jedoch sei Haubert überzeugt, dass eine "App-Härtung" über einen zusätzlichen Software-Schutz "kein sinnvoller Ersatz für eine unabhängige Zwei-Faktor-Authentifizierung sei".

Auf dem 34. Chaos Communication Congress (34C3) beschäftigen sich rund 15 000 Teilnehmer bis Samstag in Vorträgen und Workshops mit Schwachstellen von Computer­technik und Internet-Anwendungen sowie mit aktuellen politischen Themen. Der Kongress findet nach fünf Jahren in Hamburg zum ersten Mal in Leipzig statt, er gilt als größter Hackerkongress in Europa.

Mehr zum Thema Chaos Computer Club (CCC)