Forscher demontieren App-TANs der Sparkasse

Nemo

Benutzer

Geschlecht: keine Angabe
Beiträge: 425
Dabei seit: 09 / 2004

Betreff:

Forscher demontieren App-TANs der Sparkasse

· Gepostet: 23.10.2015 - 12:50 Uhr · #1

Forscher demontieren App-TANs der Sparkasse

infoman

Benutzer

Geschlecht:
Beiträge: 7110
Dabei seit: 06 / 2008

Betreff:

Re: Forscher demontieren App-TANs der Sparkasse

· Gepostet: 24.10.2015 - 15:34 Uhr · #2

Der o.g. Hinweis gab es ja schon http://www.onlinebanking-forum…real120044

und dass man nicht nur eine Bank an den Pranger stellt, betroffen dürften somit alle pushTAN-Varianten der div. Banken sein.

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6167
Dabei seit: 02 / 2003

Betreff:

Re: Forscher demontieren App-TANs der Sparkasse

· Gepostet: 24.10.2015 - 17:54 Uhr · #3

Zitat geschrieben von infoman

......, betroffen dürften somit alle pushTAN-Varianten der div. Banken sein.

So pauschal gilt das sicherlich nicht. Dazu ist das geschilderte Angriffsszenario auch zu speziell.
Die besondere Situation hier: PushTAN App und Banking App tauschen die Daten aus. Das wurde im Speziellen angegriffen.

Was aber natürlich auch gilt, die Banken, die die PushTAN App dieses Herstellers als Whitelabel Lösung auch einsetzen, werden vermutlich jetzt hoffen, dass deren Lösung nicht auch öffentlich "getestet" wird.

Viele Grüße

Holger

infoman

Benutzer

Geschlecht:
Beiträge: 7110
Dabei seit: 06 / 2008

Betreff:

Re: Forscher demontieren App-TANs der Sparkasse

· Gepostet: 25.10.2015 - 09:30 Uhr · #4

dass es sich jeweils um keine 08/15-Problematik handelt, dürfte jedem klar sein

wir könnten nun das pro/contra der Verfahren usw. auseinander nehmen, was jedoch jeweils nur bis zur nächsten App-Version gelten würde.
denn selbst in der schriftlichen Fassung wurde ja schon mitgeteilt

Zitat

Mit Veröffentlichung dieser Arbeit wurde zum 16.10.2015 Version 1.0.5 der S-pushTAN-App veröffentlicht, die neue Wege bei der Bekämpfung von gerooteten Geräten geht. Diese Version macht unsere bestehenden Lösungsansätze zur Verwendung der S-pushTAN-App trotz root-Zugriffs zunächst unwirksam, so dass keine unmittelbare Gefahr durch unsere Tools zu erwarten ist

aber auch:

Zitat

... so dass lediglich der Realisierungsaufwand unseres Verfahrens steigen wird, während die konzeptionellen Schwächen des App-basierten TAN-Verfahrens nie beseitigt werden können.

einfachere Punkte wurden ja angesprochen bspw.

Zitat

Eigene Tastatur: Unter Android gibt es seit der Einführung der virtuellen Tastatur die Möglichkeit, die Standardtastatur durch eine Tastatur eines Drittanbieters auszutauschen. Die Verwendung einer solchen Tastatur birgt prinzipiell die Gefahr eines möglichen Keyloggers. Dadurch könnte beispielsweise die PIN, die beim Start der App abgefragt wird, auch ohne SuperUser-Rechte ausgespäht werden. Aus diesem Grund liefert die S-pushTAN-App eine eigene Tastatur mit, die zur PIN-Eingabe beim Start verwendet wird. Die App Sparkasse ist hier weniger restriktiv und verzichtet auf eine eigene Tastatur

aber nachstehendes trifft für alle (Banken)-Apps:

Zitat

In einer aktuellen Studie der Universität Cambridge wird gezeigt, dass 87,7% aller Android-Geräte angreifbar gegenüber kritischen Sicherheitslücken sind. Mit sieben von elf untersuchten Verwundbarkeiten können root-Rechte ohne
physischen Zugang zu dem Gerät erlangt werden.

hier wurde leider bedauerlicherweise nur ein OS kommentiert, obwohl die App ja auch für iOS verfügbar ist und die gleichen Schwachstellen aufzeigen dürfte, insbesondere die nachfolgende Aussage:

Zitat

Die Studie zeigt außerdem, dass Sicherheitslücken von Seiten der Hersteller nur langsam, wenn überhaupt, geschlossen werden, was dazu führt, dass viele Geräte auch nach der Entdeckung einer Lücke lange Zeit verwundbar bleiben.

denn ältere iOS bekommen eben keine Updates mehr und auch Zwangsupdates bei den neueren und immer öfteren unsicheren iOS-Versionen gibt es nicht.

abschließend muss jedoch aber festgehalten werden, dass es sich nur um allgemeine Schwachstellen handelt, die bei softwaren-basierten Produkten einfach vorhanden sind.

Potzblitz

Benutzer

Geschlecht: keine Angabe
Herkunft: das Tor zur Welt
Beiträge: 78
Dabei seit: 11 / 2006

Betreff:

Stellungnahme der Sparkassen

· Gepostet: 26.10.2015 - 09:42 Uhr · #5

http://www.heise.de/security/meldung/Unsichere-App-TAN-Sparkasse-verteidigt-ihr-pushTAN-Banking-2854722.html

infoman

Benutzer

Geschlecht:
Beiträge: 7110
Dabei seit: 06 / 2008

Betreff:

Re: Forscher demontieren App-TANs der Sparkasse

· Gepostet: 26.10.2015 - 10:41 Uhr · #6

hehe, so kann man natürlich auch argumentieren - ich mach es mal frei umgangssprachlich "was interessiert mich mein Geschwätz von gestern".
die angesprochenen Problemstellen bspw. die Drittanbieter-Tastatur (keylogger) usw. ist ja trotzdem noch vorhanden (bezogen auf die banking-app // nicht auf die pushTAN)

Zitat

Die grundsätzliche Analyse von Haupert und Müller hat Bestand: Bei aktuellen Online-Banking-Verfahren via ChipTAN oder auch mTAN muss ein Angreifer für einen unsichtbaren Betrug zwei unabhängige Geräte unter seine Kontrolle bringen: den PC und den TAN-Generator beziehungsweise das Smartphone.

naja, dass wissen wir ja alle auch, die sich mit der Thematik beschäftigen, dass mTAN auch nicht sicher ist, siehe SIM-Duplikate - anderer T. in Sachen Telekom.

infoman

Benutzer

Geschlecht:
Beiträge: 7110
Dabei seit: 06 / 2008

Betreff:

Re: Forscher demontieren App-TANs der Sparkasse

· Gepostet: 16.12.2015 - 10:08 Uhr · #7

32. Chaos Communication Congress
(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking
Stream startet am 28.12.2015 um 16.45 Uhr über die app: https://itunes.apple.com/app/id941205524?mt=8 (für Android konnte ich aktuell kein App finden)
https://events.ccc.de/congress…/7360.html

Homepage: https://www1.cs.fau.de/content…inebanking +
Video https://www1.cs.fau.de/filepoo…AppTAN.mp4

infoman

Benutzer

Geschlecht:
Beiträge: 7110
Dabei seit: 06 / 2008

Betreff:

Re: Forscher demontieren App-TANs der Sparkasse

· Gepostet: 29.12.2015 - 08:57 Uhr · #8

Zitat

Ein junger Hacker hat das Verfahren nun zum zweiten Mal überlisten können. Auf dem Hacker-Kongress des Chaos Computer Clubs zeigt er am Montag, wie leicht das System anzugreifen ist.
...Damals konterte die Sparkasse, der Angriff sei nur bei mittlerweile veralteten Versionen der App möglich, es gebe aber bereits neuere Versionen. Zum CCC-Congress hat sich Vincent Haupert deshalb nun mit der neuesten Version der App auseinandergesetzt: "Auch diesmal ist ein Angriff geglückt", sagt er. Das Problem ist allerdings wohl nicht die App der Sparkasse selbst, sie steht lediglich exemplarisch für das System an sich.

http://www.spiegel.de/netzwelt…69681.html

Zitat

32C3: pushTAN-App der Sparkasse nach wie vor angreifbar
Zwischen Erlanger Sicherheitsforschern und dem Sparkassenverband hat sich ein Katz-und-Maus-Spiel um die Online-Banking-App "pushTAN" entwickelt. Die jüngste Version ließe sich weiter recht einfach angreifen, sagen Experten.

http://www.heise.de/newsticker…56667.html

Im Video: Die (Un)Sicherheit von App-basierten TAN-Verfahren
http://www.iphone-ticker.de/im…ren-91026/