Sicherheitsforscher zeigen Schwachstellen in Photo-Tan-App

Sicherheitsforscher der der Friedrich-Alexander-Universität Erlangen-Nürnberg haben Schwachstellen in der Photo-Tan-App aufgezeigt.

Das Photo-Tan-Verfahren wird aktuell von mehreren Banken als Sicherheitsfeature eingesetzt, um Onlinegeschäfte abzusichern. Kunden der Deutschen Bank, norisbank oder Commerzbank dürften es kennen. Dennoch hat es ein Problem, was bereits von anderen Apps aus diesem Bereich bekannt ist. Nutzt man Banking-App und Tan-App auf einem Gerät, ist die Sicherheit unter Umständen nicht mehr gewährleistet.

Sicherheitsforscher konnten das nun erstmals nachweisen. Ihnen ist es gelungen, durch das manipulieren des Photo-Tans, Gelder auf beliebige Konten zu überweisen, ohne, dass der Nutzer das mitbekommt.

Wir können alles manipulieren. Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken.

Die Möglichkeiten bieten sich, sobald ein „Hacker“ Zugriff auf ein Smartphone erlangt, beispielsweise durch eine manipulierte App. Die Sicherheitsforscher führen aus, dass sie ihre Experimente unter Android durchgeführt haben und das System generell etwas anfälliger dafür wäre. Sie sagen aber auch klar, dass es natürlich keinen generellen Schutz vor Schadcode gibt und das unabhängig vom System.

Für Nutzer gelten generell die altbewährten Tipps: Keine Apps aus zweifelhaften Quellen laden und installieren, keine Dateien von fremden Personen über z.B. Messenger annehmen und Verfahren mit einem zweiten Faktor nicht gemeinsam auf einem Gerät nutzen.

Wer sich für die Details und das Vorgehen der Forscher interessiert, findet hier alles Wissenswerte. Dort sind auch zwei Videoclips sowie ein PDF mit der kompletten Studie verlinkt. Das Ganze ist durchaus einen Klick wert, denn es wird detailliert auf die Funktionsweise eingegangen.

Danke Michael! via / Zitat sueddeutsche

Teilen

Hinterlasse deine Meinung
Du kannst auch als Gast kommentieren (Anleitung). DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an. Informationen zum Datenschutz auf mobiFlip.de findest du hier.