Thema "Betreff: Photo-Tan nicht mehr sicher?" in Website & Apps

Photo-Tan nicht mehr sicher?

Kahlchen — Tue, 18 Oct 2016 11:25:38 GMT

Heute in der Süddeutschen:

Banken bieten Kunden an, Überweisungen über das Smartphone zu tätigen. Dazu wird unter anderem das Photo-Tan-Verfahren als App angeboten. Bislang galt das Verfahren als sicher. Doch der sichere Transfer ist ein Versprechen, das die Deutsche Bank vermutlich nicht halten kann – ebenso die Commerzbank und die Norisbank. Denn zwei IT-Sicherheitsforschern von der Friedrich-Alexander-Universität Erlangen-Nürnberg ist es gelungen, für Apps dieser drei Institute den Geldfluss auf ein beliebiges Konto umzuleiten. Die Forscher haben dabei das Photo-Tan-Verfahren angegriffen. „Wenn Banking-App und Photo-Tan-App auf einem Gerät installiert sind, können wir die Transaktionen manipulieren“, sagt IT-Experte Vincent Haupert.

Weiß jemand was dazu? Ist die Comdirect auch betroffen als Commerzbank Tochter?

Betreff: Photo-Tan nicht mehr sicher?

Zargoras — Tue, 18 Oct 2016 12:00:05 GMT

Grundsätzlich ist man als comdirect kunde nicht betroffen, da hier die phototan app auf einem seperaten gerät laufen muss, da die datenquelle ausschließlich die kamera ist, die commerzbank hat allerdings ihre apps aktualisiert, sodas die banking app kit der tan app auf dem gerät kommunizieren kann, bei der comdirect ist das noch nicht der fall.

ich kenne die spezielle untersuchung zwar nicht, aber meist (z.b. Beim sparkassen push tan war ein jailbraik nötig) also durchaus ein spezielleres angriffs szenario.

Re: Betreff: Photo-Tan nicht mehr sicher?

SMT_Martina — Tue, 18 Oct 2016 12:06:20 GMT

Hallo @Kahlchen,

dazu wollen wir auch gerne was schreiben. Denn wir sehen in dem veröffentlichten Szenario eines Angriffs auf die photoTAN derzeit keine erhöhte Gefahr für unsere Kunden und wir betrachten photoTAN weiterhin als sicheres TAN-Verfahren. Darüber hinaus gilt natürlich auch für die photoTAN das „Bei-uns-sind-Sie-sicher-Versprechen“, das euch vor eventuellen Schäden schützt.

Viele Grüße, Martina

Betreff: Photo-Tan nicht mehr sicher?

eckhardschnell — Tue, 18 Oct 2016 12:23:25 GMT

Hallo Kahlchen,
hier ein Link auf die Meldung aus der Zeit

http://www.zeit.de/news/2016-10/18/internet-phototan-verfahren-auf-android-smartphones-geknackt-18092603

Am Anfang vom Artikel steht folgendes...
Zitat: "Zwei IT-Sicherheitsforschern ist es nach einem Bericht der "Süddeutschen Zeitung" gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken." (Hervorhebung durch mich).

Ich finde es schon wichtig zu wissen ob es sich um ein manipuliertes Gerät handelt oder nicht und um welches Betriebssystem. Ansonsten fehlen die notwendigen Randbedingungen für diesen Hack.

Grüße

Eckhard

Betreff: Photo-Tan nicht mehr sicher?

PBohr — Tue, 18 Oct 2016 15:29:49 GMT

Der Angriff benötigt mehrere Voraussetzungen:

1. Malware auf dem Android Handy

2. Man muss die Banking App für die Überweisung und die Photo TAN App auf dem gleichen Telefon ausführen.

2. ist bei den Comdirect Apps momentan nicht möglich. Ich hoffe das bleibt auch so.

Generell sollte man die 2 Faktor Authentifizierung auf 2 Geräten belassen, da die Methode sonst angreifbarer ist, da nur ein Gerät kompromitiert werden kann.

Auszug zur Comdirect aus dem Paper:

The attack cannot be used against Comdirect, as Comdirect does
not support mobile banking on one device. For the other three banks, howeverm
the attack manipulates the transaction data the victim
(1)
sends during initial-
ization (banking app),
(2)
sees during verification (banking app), and
(3)
sees
during confirmation (photoTAN app).

Link zu der Paper: https://www1.cs.fau.de/filepool/projects/matrix-code/appauth.pdf

Betreff: Photo-Tan nicht mehr sicher?

tod1212 — Wed, 19 Oct 2016 14:49:00 GMT

Ich hoffe auch sehr, dass die Apps der comdirect so bleiben wie sie sind und der automatische Austausch der PhotoTAN Codes zur Banking App innerhalb eines Gerätes weiterhin nicht möglich ist!

Alles andere (so wie es jetzt seit neuem bei der Commerzbank App oder der Deutschen Bank App ist) wäre eine deutliche Verschlechterung des Sicherheitsniveaus.

Es sollte sich eigentlich von selbst verstehen, dass eine Photo TAN nur dann bessere Sichehreit bietet, wenn sie auf einem anderen Gerät erzeugt wird, als die eigentliche Überweisung.

Betreff: Photo-Tan nicht mehr sicher?

Zargoras — Wed, 19 Oct 2016 15:28:21 GMT

@tod1212 Man muss sich aber auch mal vor augen halten das sicherheit schon immer relativ zu sehen war, in jeglicher hinsicht, sowas wie absolute sicherheit gint es nicht, außer der tatsache das jeder mal sterben wird... wenn morgen ein asteroid in frankfurt einschlägt, ist dein Geld auch nicht mehr sicher (und auch hierfür gibt es eine relative wahrscheinlichleit, wenn auch vernächlässigbar klein)

erstens handelt es sich um ein sehr spezielles angriffszenario (und kein mensch nötigt dich beide apps auf dem gleichen gerät ein zu haben) zudem musst du diese austausch funktion selber initiieren, also reicht es nicht aus, das beide programme eingerichtet auf dem handy sind, zudem muss man bei der commerzbank app diese möglichkeit selber finden und aktivieren.

nehmen wir mal an dein handy wurde manipuliert (hierfür müssen meist unvorsichtige user handhabung vorraus gehen) jetzt nehmen wir mal weiter an, das es den angreifern gelungen ist eine überweisung zu manipulieren können diese immer noch am überweisungslimit scheitern, welches für diese nicht in erfahrung zu bringen ist, und von dir frei gewählt werden kann (also würde sich der maximale schaden auf dieses Limit beschränken), bedenke sie haben hier nur einen Versuch, es handelt sich um keinen freibrief nach dem motto das handy liegt sicher und eingeschaltet in einem schrank und die angreifer können sich alle paar tage wieder geld überweisen.

angenommen es ist ihnen jetzt gelungen dein handy zu infiltrieren, in einem weiteren schritt eine überweisung zu manipulieren, diese ist innnerhalb des frei gewählten überweisungslimits geblieben, und automatischen schutzmechanismus der bank ist auch kein auffäliges zahlungverhalten aufgefallen (ziel konto schon einschlägig bekannt, erstmalige überweisung nach Nordkorea etc.), gibt es immer noch das bei uns sind sie sicher versprechen der comdirect, und die genannten rahmen bedingungen lassen schonn vermuten das deswegen die bank und deren versicherer wohl nicht so schnell dadurch pleite gehen würde.

Zudem kann die bank gucken, das soe das geld wiedeer zurück erhält, wenn sie schnell darüber informiert wurde.

Auch bitte nicht vergessen, das es stets updates für die beiden apps und das Betriebssystem gibt (bei Android ist das natürlich so eine sache... und es handelt sich zumeist um einen systemischen fehler des Betriebssystems bei der Kommunikation) und diese angriffe sind zumeist nur bei einer ganz speziellen Konstellation dieser drei Parameter möglich und wird zumeist zügig unterbunden (white hat hackers publizieren ihre ergebnisse stets erst dann wenn sie den entsprechenden unternehmen genug zeit zum fixen gegeben haben) (beim sparkassen pushtan wurde stets nur über veraltete version berichtet)

Zumal meines wissens nach in der phototan app der neue empfänger und betrag bestätigt werden muss...

Also ich würde mich da sehr sicher fühlen, und definitiv das Risiko für größer halten, das du durch gewalt gezwungen wirst dein konto selber zu plündern, sei es am Geldautomaten oder durch eine Überweisung.

Also auch hier ist es mal wieder eine Risiko/Nutzen abwägung, und ich bin überzeugt das der Nutzen überwiegt, also warum sollen nicht die Kunden davon profitieren dürfen, die dieses Risiko (welches wie beschrieben durch viele Parameter eingeschränkt sind) für vertretbar halten, habe es bei der commerzbank bereits einige male genutzt und finde es klasse!

Betreff: Photo-Tan nicht mehr sicher?

wildcat-wolf — Thu, 05 Jan 2017 19:26:53 GMT

ich denke, dass es unrelevant ist, ob ein Gerät manipuliert ist oder nicht >> einzig und allein zählt die Sicherheit, die der Kunde wünscht und das ist bei allen TAN-Verfaheren, die comdirekt bietet nicht gegeben!

Das bislang sichertste Verfahren ist das chip oder smartTan-Verfahren, aber das Einführen verursacht Kosten und das ist meiner Meinung nach der größte Bremsklotz(!) bei der Umsetzung!

Und die weit verbreitete Meinung von unseren "Experten" man müsse erst entsprechende Entscheidungen auf EU-Ebene oder so ähnlich abwarten ... sehe ich nur als Vertröstung an ..

Wir als Kunden wollen Sicherheit, die hier mit diesen TAN-Verfahren nicht gegeben ist!

Betreff: Photo-Tan nicht mehr sicher?

til — Wed, 11 Jan 2017 16:45:49 GMT

Klar ist die Manipulation von Bedeutung. Allerdings ist die Manipulation von zwei unabhängigen Geräten nahezu unmöglich, vor allem, wenn eines davon nicht am Netz hängt. Du kannst nämlich ganz einfach vor jeder Benutzung der photoTAN-App deine Internetverbindung auf dem Handy kappen.

Warum ist denn chip- oder smartTAN angeblich sicherer? Du weißt auch, dass du dir einen separaten photoTAN-Leser bestellen kannst, wenn du der App nicht traust?

Da comdirect seine Kunden zum Glück zwingt, photoTAN und Banking auf zwei verschiedenen Geräten auszuführen, ist diese Lösung derzeit(!) 100% sicher. Zumal für einen etwaigen Schaden die Versicherung eintritt.

Leider sehe ich immer wieder Leute, die lieber mobileTAN benutzen, da sie dann Banking auf dem Handy machen können und die TAN per SMS auf das gleiche Gerät zugeschickt bekommen.