Studierende und Forschende des Research Instituts for Security in the Information Society (Risis) der Berner Fachhochschule haben ein Angriffsszenario via Smartphone auf eine E-Banking Applikation erarbeitet und dabei aufgezeigt, wie einfach diese manipuliert werden kann.
Das Sicherheitskonzept der Bank geht laut Risis davon aus, dass die Erfassung der Transaktion und die Anzeige des Transaktionscodes nur vom Mensch gelesen werden kann und über unterschiedliche Geräte erfolgt. Diese Trennung wird nun mit Hilfe des Smartphones überwunden und die Anzeige des Transaktionscodes kann so manipuliert werden, dass Schadprogramme autonom weitere, verborgene Transaktionen tätigen können. Von diesen Überweisungen erfährt der Kunde erst, wenn er den elektronischen Kontoauszug über ein nicht manipuliertes Gerät einsieht, oder diesen per Post zugestellt erhält und überprüft.
Studierenden gelang es der Untersuchung zufolge problemlos, das Angriffsszenario auf ein E-Banking System umzusetzen. Sie konnten die Transaktion sowie die Anzeige des Transaktionscodes leicht manipulieren. Aber auch E-Banking über konventionelle Computer ist angreifbar. Wird der Code über ein manipuliertes Smartphone angezeigt, kommunizieren die Schadprogramme der unterschiedlichen Geräten zum Beispiel per Ultraschall, so die Risis-Beteiligten.
"Die Manipulation von smarten Geräten und deren Applikationen ist im Cloud-Zeitalter sehr einfach geworden. Manipulierte Browser können Schadprogramme eigenständig und unbemerkt darauf installieren. Die Sicherheit etablierter E-Banking Lösungen ist nicht mehr gewährleistet. Dagegen hilft auch der oft verkündete gesunde Menschenverstand seitens der Nutzer nichts. Nur wenn Banken den Einsatz eines Security Tokens anbieten, bei dem die Anzeige und die Tastatur vertrauenswürdig ist, kann ein sicheres E-Banking via Smartphone erfolgen", unterstreicht Reto König, Professor für Informatik an der Berner Fachhochschule.
www.risis.ti.bfh.ch
Der Online-Stellenmarkt für ICT Professionals