Sicherheitsforscher knacken das photoTAN-Verfahren auf Android-Smartphones

Das Verfahren photoTAN welches beim Online-Banking immer häufiger zum Einsatz kommt, soll laut einem Bericht der „Süddeutschen Zeitung“ eine Schwachstelle beinhalten. So ist es zwei Sicherheitsforschern gelungen, photoTAN auf manipulierten Android-Smartphones zu knacken.

Die beiden Forscher installierten Schadsoftware auf den beiden Geräten und konnten im Anschluss nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Voraussetzung für die Manipulation ist allerdings, dass sowohl die Banking-App als auch die photoTAN-App auf dem Gerät installiert ist.

Das Sicherheitsverfahren photoTAN wurde ursprünglich dazu konzipiert um Online-Banking noch sicherer zu gestalten. Dazu wird ein PC und ein Smartphone mit einer speziellen App oder einem speziellen Lesegerät benötigt. Ähnlich einem QR-Code, muss nach der Eingabe der Überweisungsdaten mit der App oder dem Lesegerät ein farbiger Barcode gescannt werden. Im Anschluss sind auf dem Bildschirm die Transaktionsdaten sowie eine siebenstellige Transaktionsnummer zu sehen. Mit diesen Daten kann die Überweisung dann freigegeben werden.

Der Angriff der Forscher setzt allerdings voraus, dass sich auf dem jeweiligen Smartphone bereits eine infizierte App befindet. Nach Aussagen von einem der Forscher, gestaltet das den Angriff natürlich komplizierter, dennoch ist es nicht unmöglich.

Demonstriert wurde das Szenario unter Android. Allerdings sei auch unter Apples iOS eine Attacke denkbar, auch wenn aufgrund des Sicherheits-Modells der Apple-Software die Wahrscheinlichkeit geringer sei. Die Nutzung von photoTAN auf dem PC per externem Lesegerät, wird von den Forschern als weiterhin sicher eingestuft.

Image „Phone security“ (adapted) by Ervins Strauhmanis (CC BY 2.0)

About Patrick Kiurina
Patrick Kiurina war von 2015 bis Ende 2016 für die Netzpiloten aktiv. Zuvor studierte er Publizistik und Kommunikationswissenschaften an der Uni Wien. Neben Technik interessiert er sich gleichermaßen auch für Sport und Musik.