Sicherheitslücken in Banken-Apps

von | 24.11.2017 | Digital

Sicherheitsforscher der Universität Erlangen haben Lecks in 31 Finanz-Apps entdeckt. Betroffen sind Bankkunden, die mit ihrer Finanz-App Geld überweisen und die TAN im selben Gerät erzeugen.

Homebanking? Sollte man heute anders nennen, denn wir überweisen nicht mehr nur zu Hause Geldbeträge an Freunde oder Firmen, sondern auch unterwegs. Mit einer Banking-App zum Beispiel. Nahezu alle Banken und Sparkassen haben heute eigene Banking-Apps im Angebot, mit denen wir Kontostände überprüfen und Geldbeträge überweisen können.

Aber ist das wirklich sicher? Jedenfalls nicht hunderprozentig, wie Forscher jetzt nachgewiesen haben. 31 Banking-Apps sind angreifbar.  Zum Glück sind es Sicherheitsforscher, die nun Probleme entdeckt und öffentlich gemacht haben und keine Datenkriminelle.

TheDigitalWay / Pixabay

 

Forscher an der Universität Erlangen zeigen: Es ist durchaus möglich, Finanz-Apps zu manipulieren und auszutricksen. Ohne dass es der Benutzer merkt, geht der Überweisungsbetrag an ein anderes Konto als vom Absender des Geldes gedacht. Die Betrüger manipulieren einfach das Zielkonto, geben eine andere IBAN an.

Der Benutzer der App sieht die von ihm vorgesehene Kontonummer, geschickt wird das Geld aber auf ein anderes Konto. Dazu müssen keine TANs kopiert oder geklaut werden, es wird der Überweisungsvorgang selbst verfälscht. Dazu muss natürlich das Smartphone des Opfers manipuliert werden. Eine böse Sache, da in diesem Fall die richtige App benutzt wird, eine korrekte TAN zum Einsatz kommt und das Opfer Schwierigkeiten haben wird, Opfer eines Betrugs geworden zu sein.

Viele Banken betroffen

Leider gibt es die aufgezeigte Schwäche in recht vielen Apps. 31 Finanz-Apps sind betroffen, von sehr vielen Banken, auch namhafte wie Commerzbank, Comdirekt, Sparkassen und Fidor Bank. Denn diese Banken nutzen alle einen Dienstleister namens Promon, der für die Sicherheit in Banking-Apps verantwortlich nutzt – und 100 Millionen Kundenkonten betreut.

Ein Fehler in einer externen Lösung bedeutet natürlich auch, Probleme bei ganz vielen Banken. Die Forscher haben gleich mehrere Schwachstellen gezeigt: Es ist nicht nur möglich, die Apps zu kopieren und unerlaubt zu benutzen, sondern eben auch, die IBAN des Empfängers zu manipulieren oder die im Gerät erzeugten TANs zu „klauen“, also auf ein anderes Gerät zu übertragen, um die TAN dann dort zu missbrauchen.

Alexas_Fotos / Pixabay

 

Bislang noch nicht ausgenutzt

Die Banken und das für die Abwicklung der Sicherheit zuständige Unternehmen wiegeln natürlich ab: Sie nehmen das Problem ernst, weisen aber darauf hin, dass es bisher nicht zu Missbrauch kam. In der Tat ist es nicht ganz trivial, das Sicherheitsleck auszunutzen.

Es braucht einiges an Aufwand. Die Betrüger müssen in die Geräte der Betroffenen kommen und konkret aktiv werden, für einen Massenangriff taugt das nicht. Das ändert aber nichts an der Tatsache, dass es theoretisch denkbar ist – und damit auch ein ernsthaftes Risiko besteht, dass ein solches Leck ausgenutzt wird. Die Sache ist ganz klar: Es muss nachgebessert werden.

Aufgepasst!

Es gibt eine Liste der betroffenen Banken, darunter eben Commerzbank, Comdirekt, Sparkassen und Fidor Bank. Problematisch wird es, wenn ich die TAN – also das Einmalpasswort für die Geldtransaktion – im selben Gerät erzeuge, das ich auch für die Banking-App benutze. Ist das der Fall, ist der Kunde angreifbar. Besser ist es also, für die eigentliche Transaktion ein anderes Gerät zu nehmen als für die Erzeugung der TAN.

Wer im Webformular alles ausfüllt und dann mit dem Smartphone die TAN erzeugt, etwa die Foto-TAN der Deutschen Bank, der ist auf der sicheren Seite, weil hier keine Manipulation möglich ist. Dem Kunden kann keine falsche IBAN für die Überweisung vorgegaukelt werden – und dem Server der Bank auch nicht. Halten wir also fest: Die TAN nicht auf dem Gerät erzeugen, auf dem auch die Banking-App läuft.

 

 

Schieb App