Vorsicht: pushTAN-App der Sparkassen unsicher

Online-Banking-Kunden der Sparkassen können Überweisungen oder andere Transaktionen über TAN-Apps autorisieren. Sollte man aber aus Sicherheitsgründen nicht tun. Und von ähnlichen Lösungen anderer Banken würde ich ebenfalls die Finger lassen. Worum geht es genau?


Anzeige

Online-Banking per Smartphone und Tablet erledigen ist komfortabel, und soll – speziell mit den von der Sparkassen-Organisation angebotenen App-TANs laut deren Aussage sicher sein. Dem ist leider mitnichten so – es muss vielmehr vor der Verwendung von App-TANs gewarnt werden. Ich hatte das Thema bereits im Oktober 2015 im Blog-Beitrag Online-Banking: App-TANs (u.a. der Sparkassen) unsicher aufgegriffen.

Die Sparkassen-Informatik hatte seinerzeit reagiert und die "unsicheren" Apps als "veraltet" klassifiziert. Mit aktuellen Versionen der S-pushTAN-App sei das Verfahren sicher. Diese Hoffnung hat sich leider als Trugschluss erwiesen. Sicherheitsforscher der Uni Erlangen, die auch schon die ersten Sicherheitslücken im App-TAN-Verfahren aufgedeckt haben, sind erneut fündig geworden. In der aktuellen Version 1.0.7 der S-pushTAN-App (vom 7. Dezember 2015) gibt es ebenfalls Möglichkeiten, die TAN-Authentifizierung anzugreifen. Das Ganze ist auf dem aktuell stattfindenden 32. Chaos Communication Congress (32C3) in Hamburg von den Sicherheitsforschern präsentiert worden.

Bei Interesse einfach den Artikel 32C3: pushTAN-App der Sparkasse nach wie vor angreifbar bei heise.de durchlesen. Übrigens: bei anderen Banken zum Einsatz kommende, ähnliche Lösungen sind wohl ebenfalls angreifbar. Wer auf Sicherheit bedacht ist, aber auf Online-Banking nicht verzichten mag, verwendet dies von mir im Blog-Beitrag Online-Banking: App-TANs (u.a. der Sparkassen) unsicher beschriebenen TAN-Generatoren.


Anzeige

Dieser Beitrag wurde unter Computer, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Vorsicht: pushTAN-App der Sparkassen unsicher

  1. Marc sagt:

    Diese Lücke kann nur genutzt werden, wenn entsprechende Manipulationen am Gerät/App durchgeführt wurden. beim normalen Einsatz kommt es ja nicht zu dem Szenario.
    Den Forschern ging es darum aufzuzeigen, dass wenn Programm und mTAN (über SMS) auf >einem< Gerät vorhanden ist, es zu Probleme kommen kann.
    (wobei SMS/SIM zudem noch eine weitere Problematik hat = clone der SIM)

    Dh. der Einsatz von pushTAN und bspw. einem zweiten mobilen Gerät oder einem PC ist sicher (!) bzw. genau so sicher wie die TAN Generatoren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert