Viren, Spyware, Datenschutz 11.215 Themen, 94.214 Beiträge

News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Olaf19 shrek3 „In den Händen eines umsichtigen Users ist es ja auch sicher - nur nicht vor dem Hintergrund der gesamten Gruppe der ...“
Optionen
Ich glaube, da muss man zwischen dem reinen Online-Banking vom Smartphone aus und dem lediglichen Empfang der TAN-SMS differenzieren.

Definitiv! mTAN heißt für sich genommen ja nichts weiter, als dass man die TANs per SMS aufs Handy empfängt (muss noch nicht einmal ein Smart-Schnüffler sein). Wenn dann auch noch eine Banking-App mobil genutzt wird, noch dazu auf demselben Gerät, kann die arme mTAN ja nichts dafür ;-)

Hinzu kommt, dass eine Bank es natürlich merkt, ob von zwei verschiedenen Rechnern und von zwei verschiedenen Standorten(!) auf ein und dasselbe Konto zugegriffen wird.

Bei ebay habe ich es schon erlebt, dass die "gemeckert" haben, wenn ich mich von einem anderen Rechner am anderen Standort aus eingeloggt hatte.

Die Sparda stört sowas anscheinend nicht...

Ein ausspioniertes Smartphone weiß ja erst ab dem Moment von einer SMS-TAN, sobald diese SMS eingeht. Das jedoch kann nur erfolgen, wenn bereits ein anderer Rechner bei dieser Bank eingeloggt ist...

So hatte ich mir das ursprünglich auch vorgestellt. Da wir so oder so nicht in einer perfekten Welt leben, wird es eine "absolute" Sicherheit natürlich nie geben.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen