Mit dem Photo-Tan-Verfahren sollen Bankkunden Überweisungen über ihr Smartphone ausführen können. Wie zuerst die Süddeutsche Zeitung berichtete, haben IT-Sicherheitsforscher nun Schwachstellen im System entdeckt, mit denen Angreifer Überweisungen umlenken könnten. Apps von Deutscher Bank, Commerzbank und Norisbank sind betroffen.
Quelle: negativespace.co
Autorisierung von Überweisungen durch TAN
Der Bankkunde, der eine Überweisung ausführen will, muss sich gegenüber seinem Kreditinstitut legitimieren und damit bestätigen, dass er der Kontoinhaber ist. Für diese Authentifizierung wird üblicherweise das TAN-Verfahren eingesetzt, bei dem der Benutzer ein Einmal-Passwort eingegeben muss.
Wie funktioniert das Photo-TAN-Verfahren?
Eine neue Art der Sicherung stellt das sogenannte Photo-TAN-Verfahren dar: Der Kunde füllt hierbei im Browser auf seinem PC einen Überweisungsauftrag aus. Die Banking-Seite erzeugt daraufhin eine bunte Grafik (QR-Code), in der die Daten des Auftrages und die TAN verschlüsselt dargestellt sind. Der Kunde fotografiert diese Grafik nun mit der Kamera seines Smartphones ab, eine spezielle App auf dem Handy analysiert die Grafik und zeigt die Daten der Überweisung und die TAN an. Sind diese Daten korrekt, kann der Benutzer die Überweisung durch Eingabe der TAN freigeben.
Sicherheitsrisiko: Zwei Apps auf dem selben Gerät
Deutsche Bank, Commerzbank und Norisbank bieten nun ein System an, bei dem ein PC gar nicht mehr erforderlich ist, sondern die Überweisung komplett über das Smartphone abgewickelt werden kann. Hierzu müssen zwei Apps eingesetzt werden: In der Banking-App werden die Überweisungsdaten eingegeben, also Empfängerkonto und Geldbetrag. Über eine zweite App wird dann die Grafik erzeugt, mit der der Überweisungsauftrag freigegeben wird.
Wie zuerst die Süddeutsche Zeitung berichtete, liegt hierin ein erhebliches Sicherheitsrisiko: Sind beide Apps auf dem gleichen Smartphone installiert, können Angreifer Sicherheitslücken ausnutzen, um Überweisungen auf fremde Konten umzuleiten. Das haben Sicherheitsforscher der Friedrich-Alexander-Universität Erlangen-Nürnberg herausgefunden, die technischen Einzelheiten erläutert heise Security.
Ein solcher Missbrauch ist allerdings nur dann möglich, wenn der Benutzer auf seinem Smartphone eine bestimmte mit Viren infizierte Version der Apps installiert hat.
Mehr zu diesem Thema:
Forscher zeigen Angriff auf Photo-Tan-Verfahren, Bericht auf golem.de