Sicherheitsforscher Haupert enthüllt Mobile-Banking-Hack

Das Tool Nomorp hebelt die Schutzmechanismen von Promon Shield aus, auf die sich viele Apps deutscher Banken verlassen. Vincent Haupert sieht in zusätzlichen Sicherungsmaßnahmen keinen ausreichenden Schutz, wenn Onlinebanking mit nur einer App genutzt wird.

Auf dem 34. Chaos Communication Congress (34C3) in Leipzig hat der Erlanger Sicherheitsforscher und Doktorand Vincent Haupert demonstriert, wie sich die Sicherheitsvorkehrungen verbreiteter Banking-Apps aushebeln lassen. Er warf den Banken vor, mit zunehmendem Verzicht auf Zwei-Faktor-Authentifizierung die Sicherheit ihrer Nutzer zu vernachlässigen.

Haupert macht schon seit Jahren immer wieder auf kritische Sicherheitslücken in Banking-Apps aufmerksam. Mit seinem Vortrag „Die fabelhafte Welt des Mobilebankings“ wollte er jetzt aufzeigen, dass zusätzliche Sicherungs- und Härtungsmaßnahmen keinen ausreichenden Schutz bieten, wenn Onlinebanking mit nur einer App genutzt wird. Sicherer sei grundsätzlich die unabhängige Zwei-Faktor-Authentifizierung, bei der zwei getrennte Endgeräte wie PC und Smartphone zum Einsatz kommen, also Banking- und TAN-App auf verschiedenen Geräten ausgeführt werden.

Führende deutsche Finanzinstitute aber wollen es ihren Kunden besonders einfach machen und setzen deshalb stattdessen darauf, ihre Smartphone-Apps mit der Sicherheitslösung eines externen Anbieters zu härten. Sparkassen, Raiffeisenbanken sowie Privatbanken verwenden deshalb häufig Promon Shield des norwegischen IT-Dienstleisters Promon. Diese Lösung soll Banking-Apps vor Schadsoftware auf einem mobilen Gerät schützen. Zu diesem Zweck tauschen sie ständig Informationen mit Promon aus. Reißt diese Verbindung ab, weil die Schutzfunktionen von Promon entfernt werden, sollte die App nicht mehr funktionieren.

Genau in dieser Sicherheitslösung aber fanden die Sicherheitsforscher Vincent Haupert und Nicolas Schneider von der Friedrich-Alexander-Universität Erlangen-Nürnberg schwere Sicherheitslücken. Diese ermöglichten ihnen, die Schutzmechanismen von Promon auszuhebeln. Ein von ihnen entwickelter Beispielscode erlaubte es, die Kontrolle über eine Banking-App eines Opfers zu übernehmen und Geld auf ein beliebiges Konto zu überweisen. Das machten sie schon im November öffentlich, hielten sich aber noch mit Details zum Angriff zurück.

Beim Hackerkongress 34C3 in Leipzig enthüllten sie jetzt mehr. Sie wollten damit insbesondere belegen, dass solche Angriffe eben nicht nur unter Laborbedingungen und dazu mit wiederkehrend hohem Aufwand erfolgen können. „Um diese Sichtweise zu korrigieren, haben wir das Programm Nomorp entwickelt, das in der Lage ist, zentrale Sicherungs- und Härtungsmaßnahmen in weltweit 31 Apps vollautomatisch zu deaktivieren, und somit Schadsoftware Tür und Tor öffnet“, argumentierten sie. Haupert konzentrierte sich beim Vortrag auf Android, betonte aber, dass entscheidende Teile des Angriffs auf iOS-Apps übertragbar seien.

Nicht zufällig ist Nomorp die umgekehrte Schreibweise von Promon, soll es doch die Schutzmechanismen dieser externen Sicherheitslösung aushebeln. Das Tool analysiert zunächst Promons Konfiguration, liest das Client-Zertifikat aus und kommt schließlich an eine ungeschützte Banking-App. Der gesamte Vorgang nimmt laut Haupert nicht mehr als zehn Minuten in Anspruch, ist also bei einer aktualisierten App leicht zu wiederholen. „Da schreiben wir überall Nullen rein“, sagte er und demonstrierte die Manipulation einer Konfigurationsdatei, um die Schutzmaßnahmen unwirksam zu machen.

Dem norwegischen Hersteller Promon attestierte der Sicherheitsforscher eine professionelle Reaktion. Dieser habe auf die gemeldeten Schwachstellen reagiert und setze inzwischen eine überarbeitete Version seiner Sicherheitslösung ein. Nach Hauperts Einschätzung bleibt es aber beim konzeptionellen Sicherheitsdefizit des mobilen Bankings, wie er im Gespräch mit Netzpolitik.org ausführlich begründete. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.