Samstag, 2. Januar 2016

Mobile Banking : Hacker trickst pushTAN-App der Sparkasse aus

Onlinebanking wird mobil immer beliebter, TAN-Verfahren sollen dabei schützen. Ein Forscher hat auf dem Chaos Communication Congress gezeigt, wie manipulierbar die sind.
mehr:
- Mobile Banking: Hacker trickst pushTAN-App der Sparkasse aus (Patick Beuth, ZEIT-Magazin, 28.12.2015)
Das Problem ist ein grundsätzliches: Es ist wenig ratsam, die Erstellung der Transaktionsnummern (TAN) und das Onlinebanking auf demselben Gerät vorzunehmen. Zwei Apps klingen zwar nach zweifach abgesicherter Authentifizierung, aber es ist keine. Ist das Smartphone kompromittiert, hat ein Angreifer möglicherweise Zugriff auf beide Apps und damit volle Kontrolle über das Konto. Hauperts Angriff ist übrigens nur ein proof of concept, den er an seinem eigenen Konto durchgespielt hat. Echte Kriminelle würden ihn anders vornehmen. Doch entscheidend bleibt die konzeptionelle Schwäche.

Keine Kommentare:

Kommentar veröffentlichen