Security

34C3 – Die fabelhafte Welt des Mobile Banking

Vincent Haupert referiert an der 34C3 über die Sicherheitslücken von Banking Apps

Vincent Haupert demonstriert eindrücklich, wie eine geschützte Banking App zu einer ungeschützten App wird und wie Transaktionen manipuliert werden können.

Der Chaos Communication Congress ist das jährliche Treffen der internationalen Hackerszene. Der Kongress wird vom Chaos Computer Club organisiert und seit 1984 durchgeführt. Die 34. Auflage hat als 34C3 vom 27. bis 30. Dezember 2017 mit 15'000 Teilnehmern in Leipzig stattgefunden.

Exponenten und Spezialisten aus der Szene orten regelmässig Sicherheitslücken in Systemen und Apps und stellen ihre Erkenntnisse auf dem Kongress vor. 

2017 untersuchten die Sicherheitsforscher Vincent Haupert und Nicolas Schneider Banking Apps auf Sicherheitslücken. Fündig wurde das Team bei Apps, welche auf die Sicherheitslösung "Shield" des norwegischen Anbieters Promon setzen.

Haupert demonstriert an der 34C3 eindrücklich, wie Transaktionen von Hackern manipuliert werden können. Betroffen sind nicht weniger als 31 Apps, darunter die Applikationen grosser und bedeutender deutscher Banken.

Die Sicherheit des mobilen Banking

"Bisher wurden Angriffe gegen App-basierte TAN-Verfahren und Mobilebanking von betroffenen Banken eher als akademische Kapriole abgetan. Sie seien, wenn überhaupt, nur unter Laborbedingungen und dazu unter wiederkehrend hohem manuellen Aufwand zu realisieren. Um diese Sichtweise zu korrigieren, haben wir das Programm Nomorp entwickelt, das in der Lage ist, zentrale Sicherungs- und Härtungsmassnahmen in weltweit 31 Apps vollautomatisch zu deaktivieren und somit Schadsoftware Tür und Tor öffnet. Unter den Betroffenen stellen deutsche Unternehmen mit 20 Finanz-Apps die grösste Fraktion."
Vincent Haupert und Nicolas Schneider

Promon Shield ist die Software, welche Banking Apps härtet und von zahlreichen Banken und Finanzdienstleistern eingesetzt wird. Nach Angaben des Herstellers schafft Promon Shield Schutz in nicht vertrauenswürdigen Umgebungen und soll sogar auf infizierten Geräten funktionieren.

Vincent Haupert demonstriert in seiner Präsentation einen komplizierten und einen vergleichsweise einfachen Weg, den Schutz auszuhebeln. Im Kern geht's darum, den Schutzschild zu entfernen und dafür zu sorgen, dass zentrale Konfigurationen und Zertifikate "rauspurzeln" und Promon Shield dadurch unwirksam wird. Dazu haben die Sicherheitsexperten eine Software programmiert mit dem sinnigen Namen "Nomorp", die Promon ausschalten soll.

Fazit

"Nomorp" schafft genau das, lässt alles Notwendige "rauspurzeln" und geht weiter. Vincent Haupert demonstriert im Video, wie Transaktions-Manipulationen über Code Injection sogar weitgehend automatisiert ablaufen. Mit dem Ergebnis, dass Überweisungen ausgeführt werden, deren fatale Folgen ein Kontoinhaber erst später bei der Überprüfung des Kontostandes erkennt.

Im Kern kommt Vincent Haupert zum Schluss:

Die Banking Apps setzen durch ihren All-In-One Ansatz den Schutz der Zwei-Faktor Autentifizierung ausser Kraft. Sprich: Es genügt, wenn ein einziges Gerät kompromittiert wird, um an die Kronjuwelen zu kommen. Sicherheit und Komfort stellen in sicherheitsrelevanten Systemen immer Gegensätze dar, das eine ist ohne Kompromisse beim anderen nicht zu haben. Im Falle von App-TAN basierten Banking-Apps schlägt das Pendel zu stark auf die Convenience-Seite aus.

Und: Die Verwendung von Promon Shield sollte lediglich ein zusätzlicher Schutz für Apps sein, nicht der einzige. Der Fokus sollte klar auf den Banking Apps selbst liegen, nicht (nur) auf Promon zielen.

Details im Video

Nach Aussagen von Haupert hat der Hersteller Promon professionell reagiert und eine neue Version von Shield entwickelt. Die Massnahmen und Änderungen wären noch nicht klar, so Haupert, das von den Sicherheitsforschern entwickelte Tool würde jedoch ohne Anpassungen nicht mehr funktionieren. Man darf davon ausgehen, dass Vincent Haupert und Nicolas Schneider dranbleiben und auch die modifizierte Shield-Version austesten werden.

Die Ausführungen von Haupert im Video sind zwangsläufig etwas technisch, bleiben jedoch in der Auswirkung auch für Nicht-Techniker verständlich. Dreissig hochinteressante Minuten, die einen vertieften Blick lohnen.

Talk: Vincent Haupert demonstriert im Video, wie der Hack gelingt

Vincent Haupert: Die fabelhafte Welt des Mobile Banking