Onlinebanking-Sicherungsverfahren: PushTAN Verfahren der Sparkasse ist angreifbar

Bereits als ich das PushTAN-Verfahren im Juli 2014 hier auf dem Blog vorstellte, hatte ich Zweifel, ob sich die Trennung der beiden Sicherheitsfaktoren auf einem Gerät sicher darstellen lässt.

Und nun hat Vincent Haupert auf einem Vortrag beim 32C3 in Hamburg demonstriert, wie er zunächst eine ältere Version der PushTAN-App und dann auch die aktuellste angreifen konnte und Zahlungen, die auf dem selben Androidhandy ausgeführt wurden, bei der Anzeige uns Ausführung manipulieren konnte. Dabei wird dem Nutzer die von ihm gewünschte Transaktion sowohl in der Banking-App als auch in der PushTAN-App angezeigt, im Hintergrund wird jedoch eine Überweisung mit einem anderen Betrag an einen anderen Empfänger gesendet.

Leider ist zu befürchten, dass auch die TAN-Apps anderer Bankengruppen einem gleichartigen Angriff ebenfalls nicht standhalten würden. Ein echtes Zwei-Faktor-Verfahren scheint nur auf getrennten Geräten möglich zu sein. Die Nutzung der App für eine Überweisung, die man zum Beispiel auf seinem PC ausführt und dann die TAN über die App auf dem Smartphone anzeigen lässt, ist wiederum ähnlich sicher wie das MobileTAN bzw. SMS-TAN-Verfahren. Hier müssen immerhin zwei Geräte gekapert werden, um einen Angriff möglich zu machen.

Und hier ist das Video von Vincent Hauperts Vortrag, das sehr interessant und kurzweilig ist. ;-)

Weihnachtswartezeitüberbrückungsblogpost

Der Weihnachtsbaum ist aufgetellt und geschmückt, letzte Besorgungen gemacht. Ja, auch wir mussten heute nochmal kurz los, aber dass hatte ich gestern auf Twitter schonmal angedeutet. ;-)

Die Kinder warten gespannt auf die Bescherung heute Abend und ich habe etwas Zeit zum Bloggen und für euch ein paar Anregungen zum Überbrücken der Wartezeit auf die Geschenke oder auch auf das nächste Essen in den kommenden Tagen. :-)

Wenn ihr also noch etwas sucht, um euch die Zeit zu vertreiben könntet ihr zum Beispiel Podcasts hören. Da wäre z.B. unser BBUGKS-Live Podcast von letzter Woche oder auch der aktuelle Neuland-Podcast von Sascha und Caschy.

Für Musikfans gab es gestern die gute Nachricht, dass Apple Records die Beatles-Werke nun für Streamingdienste freigegeben hat. Ihr könnt die Pilzköpfe also nun auch z. B. auf Spotify hören.

Nutzt noch jemand außer mir Watchever? :-) Dort gibt es jetzt die zweite Staffel der französichen Mysterieserie "The Returned" als Deutschlandpremiere in der französischen Originalversion.

Frohes Fest

Und nun wünsche ich euch ein Frohes Fest, habt ein paar ruhige, besinnliche Tage. Schaltet mal einen Gang zurück und genießt das Zusammensein mit lieben Menschen. Vielleicht könnt ihr für ein paar Stunden die Hektik des Alltags vergessen und zur Ruhe kommen.

Außerdem allen, die über die Feiertage arbeiten, um uns zu schützen, im Notfall zu retten, um andere Menschen in den Krankenhäusern oder Alten-/Pflegeheimen zu behandeln, zu pflegen und zu betreuen, ein herzliches Dankeschön! Ihr seid großartig.

Und zum Schluss noch wie jedes Jahr eine Version meines Lieblingsweihnachtslieds, diesmal eine Live-Version von Amy MacDonald. Bitte schön.

BBUGKS-Live Folge 6

BBUGKS-Live Logo

Kurz vor Weihnachten haben Oliver und ich es noch geschafft, eine neue Folge unsere BlackBerry-Podcasts aufzuzeichnen. Wir sprechen diesmal natürlich viel über das Priv, das erste Androidphone von BlackBerry, aber auch über unseren "Betriebsausflug" nach Frankfurt zur Experience und zum Pop-Up Store.

Wir hatten viel Spaß beim Aufnehmen des Podcasts und hoffen, dass das Ergebnis euch auch gefällt.

Hier geht es zum Podcast auf bbugks.de.

tweetbackcheck