Unsicheres E-Banking auf dem Handy
Zwei Studenten der Berner Fachhochschule haben in ihrer Bachelorarbeit die Sicherheit von E-Banking auf dem Smartphone getestet.
E-Banking auf Smartphones ist nicht sicher – zumindest dann nicht, wenn kein dediziertes, hardwarebasiertes Security-Token zum Einsatz kommt. Zu diesem Schluss kommen zwei Informatik-Studenten der Berner Fachschochschule im Rahmen ihrer Bachelorarbeit.
Danijel Brei und Simon Klaus haben im Rahmen ihrer Abschlussarbeit ein Szenario erarbeitet, das einen komplett autonomen Angriff auf das E-Banking System eines Smart-Devices zeigt, wie die beiden in einer Zusammenfassung ihrer Arbeit schreiben.
Der Angriff bleibe sowohl vor dem Benutzer als auch vor der beteiligten Bank völlig verborgen. Der betroffene Benutzer werde den Angriff erst beim Verwenden eines alternativen, nicht kompromittierten Geräts oder mit dem nächsten Bankauszug per Post bemerken.
Das Szenario lege dabei den Fokus auf das häufig verwendete mTAN-Verfahren, sei aber grundsätzlich nicht auf dieses begrenzt. Das Szenario hinterfrage die Sicherheit der für die Verifikation der Transaktionen eingesetzten Techniken zahlreicher aktueller E-Banking-Lösungen.
Zwei Applikationen subversiv vereinigen
Im Rahmen der Arbeit haben Brei und Klaus unter anderem zwei Applikationen für das Android-OS als Proof-of-Concept entwickelt. Dabei handelt es sich laut einer Mitteilung um eine SMS-Applikation und einen Webbrowser.
Das Ergebnis zeige auf, dass es technisch machbar sei, zwei offensichtlich unabhängige Applikationen auf dem Smart-Device subversiv zu vereinigen. Das gelinge nicht nur innerhalb eines Geräts, sondern sogar auch dann, wenn die Applikationen sich auf unterschiedlichen Plattformen befinde, heisst es weiter.
Dazu habe, nebst den klassischen Übertragungsmedien wie WiFi, Bluetooth, IrDA und GSM, auch ein Ansatz zur Datenübertragung mittels Ultraschall aufgezeigt werden können. Dadurch liessen sich Daten über Schallwellen, beispielsweise von einem Smart-Device zu einem Desktop-PC, ohne Einsatz weiterer Hardware austauschen.
Laut der Aussage der beiden Studenten basiert das in der Arbeit behandelte Secure-Platform-Problem hauptsächlich auf dem Verhalten des Benutzers, also Gutgläubigkeit oder Unachtsamkeit. Aber auch das Sicherheitskonzept auf den Endgeräten liesse zu wünschen übrig.
Wie Cyberkriminelle Discord-Einladungen missbrauchen
Warum Behörden mit Standardsoftware besser fahren
Mit Daten wirksam steuern und Ziele sichtbar machen
Behörden kämpfen mit KI-Betrug und Budgetmangel
User führen intime Chats mit Meta-KI – und teilen sie mit der ganzen Welt
Katzenmusik mal anders
"Akzeptanz ist die wichtigste Messgrösse"
"Kühlung rückt in den Fokus"
Salesforce setzt auf KI-Agenten im Marketing
