31 Banking-Apps weisen eklatante Sicherheitslücken auf

Betroffen sind unter anderem die Commerzbank, Stadtsparkassen und Comdirect

Forscher der Friedrich-Alexander-Universität Erlangen haben in 31 Banking-Apps eklatante Sicherheitslücken gefunden. Betroffen sind unter anderem auch die Online-Banking-Apps der Commerzbank, der Stadtsparkassen, von Comdirect sowie der Fidor Bank. Die Ursache ist eine Lücke bei einem externen Dienstleister, der ironischerweise eigentlich die Sicherheit erhöhen soll. Über die Lücke wäre es Kriminellen möglich eine Überweisung zu einem anderen Konto zu führen, ohne das jenes beim Vorgang für den Inhaber des Kontos ersichtlich wäre. Es ware den Forschern möglich die IBAN-Nummer beim Überweisen zu ändern, TAN an andere Geräte umzuleiten und sogar die ganze Banking-App zu kopieren. Damit der Angriff ausgeführt werden kann, müssen die Anwender jedoch sowohl ihre Banking- als auch ihre TAN-App auf demselben Smartphone verwenden. Das dürfte allerdings bei dem Gros der Kunden der Fall sein.

Anzeige

Die Ursache liegt in einer Sicherheitslücke beim Dienstleister Promon. Den Wissenschaftlern ist es gelungen herauszufinden, wie der Dienstleister exakt die Sicherheit gewährleisten will und daher konnte man alle Schutzmaßnahmen aufgrund jener Detailkenntnisse umgehen. Ende des Jahres will man alle Informationen auf einer Konferenz des Chaos Computer Club präsentieren. Den Code will man aus Sicherheitsgründen aber natürlich nicht veröffentlichen.

Sprecher der Banken haben geäußert, dass der Angriff der Forscher extrem komplex sei. Enttäuscht sind die Banken darüber, dass die Forscher der Friedrich-Alexander-Universität Erlangen das Sicherheitsproblem öffentlich zu erkennen gegeben haben, statt zunächst die Chance einzuräumen, es zu beheben. Allerdings bemängeln die Wissenschaftler, dass dies im Grunde nie zu 100 % möglich sein werde. Denn solange die Banken zuließen, dass das gesamte Banking an einem einzelnen, mobilen Endgerät ablaufen könne, ergebe sich allein aus diesem Konzept ein hohes Risiko.

Quelle: Süddeutsche Zeitung

André Westphal

Redakteur

2 Antworten

  1. Snooty sagt:

    Wenn es jetzt noch eine News-Seite schaffen würde, eine Liste der Banken/Apps zu veröffentlichen … 😉

    • Das Problem ist, dass die Forscher alle Ergebnisse erst Ende des Jahres veröffentichen möchten und jetzt nur erste Infos verteilt haben. Im Prinzip hätte aber wenn dann die SZ die Infos über die Apps herausfinden müssen, da sie die erste waren, die von der Story berichtet haben.

      Davon abgesehen sind aber prinzipbedingt ausnahmslos alle TAN-Apps betroffen. Ich denke die Forscher haben einfach nur die bekanntesten 31 Apps getestet…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.