Sicherheitsforscher der Friedrich-Alexander-Universität Erlangen haben aufgedeckt, wie unsicher viele Online-Banking-Apps sind. Konkret soll in insgesamt 31 Anwendungen eine Sicherheitslücke zu finden sein, die Angreifer ausnützen können, um die Kontrolle über die Software zu übernehmen.

Mehr Details beim CCC

Um den Angriff auszuführen nutzten die Forscher eine bekannte Lücke in einem Smartphone. Weitere Angaben, um welches Gerät und Betriebssystem es sich handelt und ob der Angreifer physischen Zugriff auf das Telefon benötigt, wurden bisher nicht gegeben. Beim Chaos Computer Congress (CCC) Ende des Jahres sollen mehr Details kommen.

Überweisung umlenken

Der Süddeutschen Zeitung (SZ) wurde allerdings demonstriert, was alles möglich ist. So konnte die App einfach auf einem anderen Gerät mit der Identität des eigentlichen Nutzers ausgeführt werden und Transaktionsnummern (TANs) einfach weiterverschicken. Zudem konnte die IBAN-Nummer des Empfängers manipuliert werden, sodass die Überweisung auf einem anderen Konto landet.

Nur bei App-TAN-Verfahren

Die Angriffstechnik soll ferner nur auf Kunden abzielen, die das App-basierte TAN-Verfahren nutzen. Hierbei wird über eine eigene TAN-App über eine verschlüsselte Kommunikation eine Transaktionsnummer von der Bank angefordert. Die unsichere Umsetzung des App-TAN-Verfahren soll von der Firma Promon stammen. Laut eigenen Angaben soll das Unternehmen 100 Kunden haben. 100 Millionen Nutzer sollen das Verfahren bereits nutzen.

Schwachstelle bald geschlossen

Promon soll bereits an der Behebung der Lücke arbeiten. Es soll bisher keinem Kriminellen gelungen sein, diese auszunützen. Tatsächlich weisen auch die Forscher daraufhin, dass das Angriffsverfahren selbst versierten Hackern Kopfzerbrechen bereiten dürfte – ein wirkungsvolles Konzept dürfte ein bis zwei Monate Entwicklung benötigen. In den kommenden Tagen sollen die Apps ein Update erhalten, das die Schwachstelle beseitigt. (red, 25.11.2017)