Vorsicht vor App-TANs beim Online-Banking

Noch eine kurze Sicherheitsinfo für Nutzer von Online-Banking per Smartphone oder Tablet. Von Banken werden Apps angeboten, die Transaktionen wie Überweisungen per App-TANs autorisieren. Hier ist Vorsicht geboten, da das Autorisierungsverfahren wohl angreifbar ist.


Anzeige

Folgender Screenshot, den ich (wertneutral) von den Webseiten der IngDiba erstellt habe, verdeutlicht das Verfahren der App-TAN-Autorisierung. Alles erfolgt in Apps, was komfortabel aussieht.

BankTAN

Problem ist wohl, dass der an sich gut gemeinte Ansatz wohl angreifbar ist und Sicherheitsmängel aufweist. Das Ganze gilt wohl für Apps diverser Banken. Ich hatte im Januar 2015 im Beitrag Online-Banking: mTAN und Banking-Apps unsicher sowie im Oktober 2015 im Artikel Online-Banking: App-TANs (u.a. der Sparkassen) unsicher auf das Problem hingewiesen.

Sicherheitsforscher der Uni Erlangen nehmen sich zyklisch die S-pushTAN-App der Sparkassen vor und haben in der Vergangenheit in den oben verlinkten Beiträgen auf Sicherheitsmängel hingewiesen. Bisher hieß es von der Sparkassen-Informatik, dass die Sicherheitsmängel sich auf “veraltete Versionen” der App beziehen würden. Also beruhigt auf die neuen App-Versionen zurückgreifen?

Für die aktuelle S-pushTAN-App der Sparkassen ist auf dem 32C3-Kongress von den Erlanger Sicherheitsforschern nachgewiesen worden, dass dieser App-Ansatz nach wie vor unsicher und angreifbar ist. Bei Interesse: Ich habe drüben im Seniorenblog den Artikel Vorsicht: pushTAN-App der Sparkassen unsicher zum Thema publiziert. Bei heise.de findet man die Details zum Thema in diesem Artikel.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, SmartPhone, Tablet PC abgelegt und mit App-TANs, Online-Banking, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Vorsicht vor App-TANs beim Online-Banking

  1. Herr Ing W sagt:

    Wer macht denn Banksachen übers Smartphone? :-(

    • Marc sagt:

      ich, wieso auch nicht?
      um es zu konkretisieren ich verwende alle Medien, da es unterschiedliche Szenarien gibt.
      ein PC ist auch nicht sicherer, insbesondere wenn es User gibt die meinen „never touch a running System“ sind doch ein gefundenes fressen.
      ganz zu schweigen, wenn die sodann auch noch behaupten, dass man lieber belegbehaftete Überweisungen ausführen soll

  2. Simon sagt:

    Ich verwende weiterhin das alte iTAN Verfahren, da ich bei mobile TANs oder AppTANs den Vorteil für mich nicht sehe.

    Nichtsdestotrotz würde ich dennoch umsteigen, wenn ich einen Vorteil hätte. Schließlich stellt die Bank die App bereit und ist daher sicher, dass sie Ihren Qualitätsansprüchen genügt. Natürlich sind Apps nie sicher, aber wenn dann doch einmal etwas vorfällt, dann ersetzt die Bank auch ohne Probleme den entstandenen Schaden. Wenn nicht könnte sie nämlich sonst zu machen. Außerdem bin ich immer noch der Meinung, dass es deutlich lohnenswertere Ziele als mich gibt ;-)

    • Marc sagt:

      bei vielen Banken gibt es das iTAN Verfahren nicht mehr.
      das Chip-TAN Verfahren (Generator) ist aber iO und wird auch von dem o.g. Forscher selbst verwendet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.